Cloud Guard設定・操作ガイド

Cloud Guard
設定・操作ガイド
2023年8⽉31⽇
⽇本オラクル株式会社
クラウド・エンジニアリング統括 COE本部
セキュリティ&マネージメント・ソリューション部

View Slide

1. Cloud Guard 概要
2. Cloud Guard 設定⼿順
📌 前提条件と構成
📌 Cloud Guardの有効化
📌 通知とイベントの作成
3. Cloud Guard 検出結果と対応
📌 「推奨事項」ページからの対応
📌 「問題」ページからの対応
📌 「脅威モニタリング」ページからの対応
4. Cloud Guard 応⽤編
📌 ターゲットの管理
📌 ディテクタ・レシピの管理
📌 レスポンダ・レシピの管理
Agenda
Copyright © 2023, Oracle and/or its affiliates.
2

View Slide

クラウドの設定ミスによる情報漏洩を防⽌
サービス概要/特徴
• OCIで展開されているサービスの設定内容やOCIユーザー
のアクティビティを監視することで安全なクラウド運⽤を実現
• 事前定義されたディテクタ・レシピに基づいて、セキュリティ
インシデントに繋がる可能性があるセキュリティリスクを
可視化
• ディテクタ・レシピは定期的に更新され、新たなセキュリティ
リスクにも対応
• 検出された問題はリスクレベルで評価し、テナント全体の
健全性をスコアリング
ユース・ケース
• テナント全体を監視対象とし、各リソースに脆弱な設定が
ないか︖、ユーザーによる不正操作がないか︖を監視
• 現状のセキュリティリスクを可視化し、脆弱性な設定値の
⾒直しや操作プロセスなどの⾒直し
• オブジェクト・ストレージからの情報漏洩を懸念して、設定値
がパブリックとなった際、検出から修復までを⾃動化
• セキュリティリスクの⾼い問題が検出された場合、管理者へ
メール通知して迅速な対応を⾏う
サービス価格
• 無償
Cloud Guard 概要
3
Cloud Guard Vault
Scannin
g
VCN, Load
Balancer
Compute,
Storages
Database
s
IAM
問題の検出アクション実⾏
リスク評価

View Slide

動作フロー
Cloud Guard 概要
4
Detectors
Public
Instance
TOR log-in
Public Bucket
監視対象となるリソースの設定や
ユーザーアクテビティについて、事前
定義されたディテクタ・レシピに基づ
いて問題を検出
Responders
Stop Instance
Suspend User
Disable Bucket
検出された問題に関する通知
および対応⽅法を提供
Targets Problems
リソースの設定やユーザーアクテビ
ティにおいて、潜在的なセキュリティ
の問題がある場合、リスクレベルを
分類して掲⽰
監視対象とするコンパートメント
（リソースの範囲）を設定。コン
パートメントとその配下の構成が
監視対象。

View Slide

検出ロジック
Cloud Guard 概要
5
事前定義されたディテクタ・レシピを基に監査ログより操作状況
および各リソースより設定状況を監視し、問題点を検出します。
ü ディテクタ・レシピは3種類
Ø 構成ディテクタ・レシピ
Ø アクテイビティ・ディテクタ・レシピ
Ø 脅威ディテクタ・レシピ
ü 監視対象となるターゲットに対してディテクタ・レシピを設定
ü ディテクタ・レシピで定義された項⽬と実際の設定状況や
操作状況などを監視して、セキュリティリスクを可視化
監査ログ
Compute
Object Storage
Networking
etc
操作状況を監視
設定状況を監視
Cloud Guard
Detectors
脅威
ディテクタ・レシピ
構成
アクティビティ

View Slide

ディテクタ・レシピのクローン
ü ディテクタ・レシピは、具体的な検出ルールを定義したルールセット
Ø 構成ディテクタ・レシピ: オブジェクトストレージやVCNなどのOCIの各サービス設定に関する検出ルール
Ø アクテイビティ・ディテクタ・レシピ: VCNのセキュリティルール変更やユーザーのグループ追加などのリソース操作に関する検出ルール
Ø 脅威ディテクタ・レシピ︓ 不正操作の疑いがあるユーザーアカウントに関する検出ルール
ü Oracleマネージドとして提供され、ルールの新規追加やアップデートは適宜実施
ü Oracleマネージドレシピをクローンすることで、ユーザー環境に合わせた設定（Enable/Disable）が可能
Cloud Guard 概要
6
User Managed Recipe
Oracle Managed Recipe
クローンの作成
Bucket is public ENABLED HIGH
KMS Key not rotated ENABLED MEDIUM
Instance has public IP
address
ENABLED CRITICAL
Bucket is public DISABLED HIGH
KMS Key not rotated ENABLED HIGH
Instance has public IP
address
ENABLED CRITICAL

View Slide

構成ディテクタ・レシピ（⼀例）
Cloud Guard 概要
7
# ディテクタ・ルールディテクタ・ルール（翻訳）リスク・レベル
1 Load balancer SSL certificate expiring soon ロードバランサのSSL証明書の期限切れが近づいていますクリティカル
2 Bucket is public バケットがパブリックですクリティカル
3 Database version is not sanctioned データベースのバージョンが認可されていませんクリティカル
4 Database System version is not sanctioned データベースシステムのバージョンが認可されていませんクリティカル
5 Instance is publicly accessible インスタンスはパブリックにアクセスできますクリティカル
6 VCN Security list allows traffic to non-public port from all sources (0.0.0.0/0) VCNセキュリティリストで、すべてのソース（0.0.0.0/0）から⾮パブリックポートへのトラフィックが
許可されています
クリティカル
7 VCN Security list allows traffic to restricted port VCNセキュリティリストで制限ポートへのトラフィックが許可されていますクリティカル
8 Scanned host has open ports スキャンされたホストにオープンポートがありますクリティカル
9 Scanned host has vulnerabilities スキャンされたホストに脆弱性がありますクリティカル
10 Database System is publicly accessible データベースシステムはパブリックにアクセスできますクリティカル
11 Database System has public IP address データベースシステムにパブリックIPアドレスがあります⾼
12 Database is not backed up automatically データベースが⾃動的にバックアップされません⾼
13 Instance has a public IP address インスタンスにパブリックIPアドレスがあります⾼
14 NSG ingress rule contains disallowed IP/port NSGイングレスルールに許可されていないIP/ポートが含まれます⾼
15 Load balancer allows weak SSL communication ロードバランサで強度の弱いSSL通信が許可されています⾼
16 Load Balancer has public IP address ロードバランサにパブリックIPアドレスがあります⾼
17 Data Safe is not enabled DataSafeが有効ではありません⾼
18 Database patch is not applied データベースパッチが適⽤されていません中
19 Block Volume is not attached ブロックボリュームがアタッチされていません中
20 Database system patch is not applied データベースシステムパッチが適⽤されていません中
21 Instance is running without required Tags インスタンスが必須必タグなしで実⾏されています中
22 Key has not been rotated キーがローテーションされていません中
23 API key is too old APIキーが古すぎます中
24 IAM group has too many members IAMグループのメンバーが多すぎます中

View Slide

アクティビティディテクタ・レシピ（⼀例）
Cloud Guard 概要
8
# ディテクタ・ルールディテクタ・ルール（翻訳）リスク・レベル
1 Suspicious Ip Activity 疑わしいIPアクティビティクリティカル
2 VCN Network Security Group Deleted VCNネットワークセキュリティグループが削除されました⾼
3 Instance terminated インスタンスが終了しました⾼
4 Database System terminated データベースシステムが終了しました⾼
5 Intermediate Certificate Authority (CA) revoked 中間認証局（CA）が取り消されました⾼
6 VCN Local Peering Gateway changed VCNローカルピアリングゲートウェイが変更されました中
7 VCN Route Table changed VCNルート表が変更されました中
8 VCN DHCP Option changed VCN DHCPオプションが変更されました中
9 VCN Security List deleted VCNセキュリティリストが削除されました中
10 VCN Internet Gateway created VCNインターネットゲートウェイが作成されました中
11 VCN deleted VCNが削除されました中
12 VCN Network Security Group ingress rule changed VCNネットワークセキュリティグループのイングレスルールが変更されました中
13 VCN Network Security Group egress rule changed VCNネットワークセキュリティグループのエグレスルールが変更されました中
14 VCN Security List ingress rules changed VCNセキュリティリストのイングレスルールが変更されました中
15 VCN Security List egress rules changed VCNセキュリティリストのエグレスルールが変更されました中
16 Certificate Authority (CA) deleted 認証局（CA）が削除されました中
17 Subnet Changed サブネットが変更されました低
18 Subnet deleted サブネットが削除されました低
19 Update Image イメージの更新低
20 VCN Security List created VCNセキュリティリストが作成されました低
21 VCN Internet Gateway terminated VCNインターネットゲートウェイが終了しました低
22 VCN created VCNが作成されました低
23 Security policy modified セキュリティポリシーが変更されました低
24 IAM User capabilities modified IAMユーザーの機能が変更されました低

View Slide

9 Copyright © 2023, Oracle and/or its affiliates.
※ https://attack.mitre.org/techniques/enterprise/
ディテクタルール⼿法 ※ 説明
不正ユーザー
不可能な移動
（Impossible Travel）
Initial Access
Valid Accounts: Cloud Accounts (T1078.004)
悪意のあるクラウド・アカウントの資格証明を取得して不正使⽤し、制限されたリソースへの
アクセスを提供できます。正当な資格証明の不正な使⽤を検出する⽅法の1つは、アクセ
ス間の期間が短すぎて物理的に不可能になった場合に、異なる地理的な場所から同じア
カウントによるアクセスを識別することです。
パスワード推測
（Password Guessing）
Credential Access
Password Guessing (T1110.001)
1⼈のユーザーに対する総当たり攻撃。正当な資格証明に関する知識がなくても、パスワー
ドによってアカウントへのアクセスが試⾏される可能性があります。アカウントのパスワードがわ
からない場合は、反復的なメカニズム、または⼀般的なパスワードのリストを使⽤して、パス
ワードを体系的に推測できます。攻撃者の⾃動プロセスに、失敗した認証試⾏間の⼗分な
組み込み待機時間がある場合、アカウントのロックアウトは発⽣しません。
パスワードのスプレー
（Password Spraying）
Credential Access
Password Spraying (T1110.003)
複数のユーザーに対して、正当な資格証明に関する知識がなくても、複数のユーザーに対
するブルート・フォース攻撃では、パスワードを使⽤してアカウントにアクセスを試みる可能性
があります。逆仕訳では、多数の異なるアカウントに対して⼀般的に使⽤されるパスワードの
単⼀または少数のリストを使⽤して、有効なアカウント資格証明の取得を試みることができ
ます。ログインは多くの異なるアカウントに対して試⾏され、多数のパスワードを持つ1つのア
カウントを強制的に実⾏するときに通常発⽣するロックアウトを回避します。
事前認証済リクエスト(PAR)の昇格数
（Elevated Number Of PARs）
Exfiltration
Exfiltration to Cloud Storage (T1567.002)
事前認証済リクエストの異常作成。事前認証済リクエストは、ユーザーが独⾃の資格証明
を持たないプライベート・バケットまたはオブジェクトにアクセスできるようにする⼿段を提供しま
す。これにより、攻撃者はコマンドや制御チャネルを経由せずにデータを漏洩する可能性があ
ります。
脅威ディテクタ・レシピ
Cloud Guard 概要

View Slide

※ https://attack.mitre.org/techniques/enterprise/
ディテクタルール⼿法 ※ 説明
不正ユーザー
⾼度なアクセス
（Elevated Access）
Privilege Escalation
Valid Accounts: Cloud Accounts (T1078.004)
攻撃者は、初期アクセス、永続性、特権昇格または防御回避を利⽤して、クラウドアカウン
トの資格情報を取得し、悪⽤する可能性があります。クラウドアカウントが悪⽤されると、攻
撃者はアカウント操作を実⾏して（例えば、追加のクラウドロールを追加することにより）、
永続性を維持し、特権にエスカレートする可能性があります。
減損防⽌
（Impair Defenses）
Defense Evasion (TA0005)
Impair Defenses: Disable or Modify Tools
(T1562.001)
攻撃者は、マルウェア/ツールおよびアクティビティの検出を回避する為に、セキュリティツールを
変更および/または無効にすることができます。これには、セキュリティソフトウェアプロセスや
サービスの強制終了、レジストリキーや構成ファイルの変更/削除によるツールの正常な動作
の停⽌、セキュリティツールのスキャンや情報の報告を妨げるその他の⽅法など、さまざまな
形態があります。
永続性
（Persistence）
Persistence (TA0003)
Account Manipulation: Additional Cloud
Credentials (T1098.001)
攻撃者が制御するクレデンシャルをクラウドアカウントに追加して、環境内の被害者のアカウ
ントとインスタンスへの永続的なアクセスを維持できます。例えば、Azure ADの既存の正当
なクレデンシャルに加えて、サービスプリンシパルとアプリケーションのクレデンシャルを追加でき
ます。これらの資格情報には、x509キーとパスワードの両⽅が含まれます。⼗分なアクセ
ス許可があれば、Azureポータル、Azureコマンドラインインターフェイス、AzureまたはAz
PowerShellモジュールなど、さまざまな⽅法で資格情報を追加できます。
脅威ディテクタ・レシピ
Cloud Guard 概要

View Slide

レスポンダ・レシピ
Cloud Guard 概要
11
n Cloud Guardが検出した問題に対して、修正するアクション
を決定
n 2種類のレスポンダで構成（右記の参照）
Ø 【Notification】: 検出された問題をユーザーに送信
Ø 【Remediation】: 検出された問題に対して⾃動修正を実⾏
n レスポンダの実⾏した結果は、Auditイベントとして記録
# レスポンダ・ルールレスポンダ・ルール（翻訳版）
1 Cloud Event クラウドイベント
2 Delete IAM Policy IAMポリシーを削除する
3 Delete Internet Gateway インターネットゲートウェイを削除する
4 Delete Public IP(s) パブリックIPを削除します
5 Disable IAM User IAMユーザーを無効にする
6 Enable DB Backup DBバックアップを有効にする
7 Make Bucket Private バケットをプライベートにする
8 Rotate Vault Key ボールトキーをローテーション
9 Stop Compute Instance コンピューティングインスタンスの停⽌
10 Terminate Compute Instance コンピューティングインスタンスを終了します
参照︓ 「Bucket is public」のディテクタ・レシピ
Responder Recipe

View Slide

検出した問題に対するライフサイクル
Cloud Guard 概要
12
ü 検出した問題は、以下の⽅法より対応
Ø 【修正】︓ Cloud Guardのレスポンダを使⽤して対応
Ø 【解決済みとしてマーク】︓ 担当者が⼿動で対応
Ø 【終了】︓ 終了済みとして問題をクローズ※ 意図的に設定している場合
ü 問題を再度検出した場合︓
Ø 未解決の問題は、問題の履歴が更新される
Ø 以前に「解決済みとしてマーク」した問題は、問題として再度
オープンされ、履歴が更新される
Ø 以前に「終了」した問題は、問題として再度オープンされずに履歴
が更新される
ü 問題への対応は、セキュリティスコアに反映される
Finding
Open
Resolved
Dismissed
Dismissed problem
updated finding, but not
re-opened
Resolved
problem
reopened
from
finding
New finding
Marked
resolved
or
rem
ediated
by responder
Marked
dism
issed

View Slide

検出された問題
Cloud Guardダッシュボード
Cloud Guard 概要
検出結果のイメージ

View Slide

問題の検出から修正までの流れ
Copyright © 2023, Oracle and/or its affiliates
14
Cloud Guard 概要
ディテクター
検出ルールのトリガーとして、“バケットがパブリックに設定変更”された際に
問題として認識（重⼤度︓クリティカル）
“バケットがパブリック”
(重⼤度︓クリティカル)
プロブレム
「クラウドイベント」は有効か?
=> Yes
レスポンダー
Cloud Guard
オペレーター
問題を修正するか︖
=> Yes
レスポンダー
レスポンダがバケットをプライ
ベートに設定変更
重⼤なリスク
ユーザーがバケットを
パブリックに設定
バケット
OCI Events
OCI Functions
OCI Notifications
「バケットをプライベートにする」が有効か︖
=> Yes
バケット

View Slide

オブジェクト・ストレージのプライベート設定をパブリック設定に変更されることで重要データの漏えいに繋がる可能性がある為、操作ミス
や不正操作などによるオブジェクト・ストレージにの設定変更を検出し、且つ⾃動修復（パブリックからプライベートへの設定変更）
までを実施することでリスクを抑⽌する。
【補⾜】︓ ⾃動修復を設定していない場合
問題 → ステータスで「オープン」を選択すると、“Bucket is public”
が検出結果として表⽰される。
検出のみの場合検出＋⾃動修復の場合
【補⾜】︓ ⾃動修復を設定している場合
問題 → ステータスで「解決済」を選択すると、“Bucket is public”
が対応結果として表⽰される。（Cloud Guardが⾃動修復した為
「オープン」に検出結果は表⽰されない）
オブジェクトストレージがパブリックに設定変更された場合の検出（例）
Cloud Guard 概要

View Slide

16
OCIのリソースに対するアクセス権を得て、破壊⽬的でそれらリソースを使⽤する試みおよびその可能性を⽰しているアクティビティの
パターンを検出します。
リスク・スコアが “80” を超えると、Cloud Guardの問題として警告されます。
監視対象となるコンパートメントにおいて、不正操作
の疑いがあるユーザーアカウントの⼀覧を表⽰。
該当のユーザーアカウントにおける脅威モニタリング
状況を「観察」、「影響を受けるリソース」、「エンドポイ
ント」の観点で表⽰。
【観察】
ディテクタルールに基づいた操作
状況を分析およびスコアリング
した結果を表⽰します。
【影響を受けるリソース】
不正操作の疑いがある関連
リソースの情報が表⽰されます。
【エンドポイント】
リソースへのアクセス元となるIP
アドレスが表⽰されます。
脅威モニタリング
Cloud Guard 概要

View Slide

Events & Notificationsとの連携
17
Cloud Guard 概要
Applies
to
Target
Detector
Recipe
Problem
CRITICAL>
Rule
Responder
Recipe
Cloud Event
(Notification)
OCI Events
Service
OCI
Functions
Notifications:
Email
Bare Metal
Compute
Object
Storage
Block Storage
Buckets
Database
System
Make bucket
private

View Slide

オラクルで事前定義した“構成のディテクタ・ルール”に基づき、リソースの設定状況を調査します。ディテクタ・ルールに該当する設定値が
ある場合、脆弱な設定状態として検出されます。
【監視のメリット】
📌 設定内容に問題があるかを調査することで、脆弱な設定が悪⽤される前に修正することができる
📌 全ての問題に対して調査することで設定の不備が改善し、セキュリティベースラインが向上へと繋がる
脆弱な設定状態として検出された内容は、「問題」
に⼀覧表⽰。
リスク・レベルなどを参考に対応の優先順位を検討し、
検出されている設定内容の問題を調査。
上記問題（VCN Securitylist allows traffic to
restricted port）の場合、VCNのセキュリティリスト
に不要なポートが許可されている為、許可する必要が
あるかを再検討。
問題があるVCNセキュリティリストを
確認し、許可する必要のないポート
を⾒直し、必要に応じてセキュリティ
リストを修正する。
左図の設定は、OCIを試験運⽤する
為に全ポートに対してアクセスを許可。
この状態は外部から容易に攻撃され
易い為、早期対応が必要。
設定内容を修正後、当該問題の
画⾯に戻り、該当する対応（修正、
解決済みとしてマーク、終了）を選択
する。
監視例①︓ 設定状況を監視
Cloud Guard 概要

View Slide

オラクルで事前定義した“アクティビティのディテクタ・ルール”に基づき、リソースの操作内容を調査します。ディテクタ・ルールに該当する
操作が⾏われた場合、問題のある操作として検出されます。
📌 操作内容が予定されたものであるかを調査することで、不正利⽤への対策および監視強化を⾏うことができる
📌 全ての操作内容に対して調査・対応することで、情報漏洩などに繋がるセキュリティインシデントを抑⽌できる
ディテクタ・ルールに該当するリソースの操作（作成、
修正、削除、停⽌、等）が⾏われた場合、問題の
ある操作として「問題」に⼀覧表⽰。
該当のVCNセキュリティリストが不正に
変更されていないかを確認し、必要に
応じてセキュリティリストを修正する。
不正操作が疑われる場合、ユーザー
に関する調査も⾏う。
アクセス制御に不備があると不正侵⼊
される可能性が⾼くなる為、早期対応
が必要。
リスク・レベルなどを参考に対応の優先順位を検討し、
検出されている設定内容の問題を調査。
上記問題（VCN Security List ingress rules
changed）の場合、VCNのセキュリティリストのイング
レスルール（内部への通信）が変更された為、当該
操作が予定されたものかを確認。
適正な操作であったかを確認し、設定
内容を修正後、当該問題の画⾯
に戻り、該当する対応（修正、解決
済みとしてマーク、終了）を選択する。
監視例②︓ 操作状況を監視
Cloud Guard 概要

View Slide

20
オラクルで事前定義した“脅威のディテクタ・ルール”に基づき、OCIのリソースに対して「破壊⽬的での使⽤」や「その可能性を⽰してい
るアクティビティ」などのパターンを分析し、疑わしい振る舞いのユーザーアカウントを検出。
監視対象となるコンパートメントにおいて、不正操作
の疑いがあるユーザーアカウントの⼀覧を表⽰。
該当のユーザーアカウントにおける脅威モニタリング
状況を「観察」、「影響を受けるリソース」、「エンドポイ
ント」の観点で表⽰。
【観察】
ディテクタ・ルールに基づいた操作
状況を分析およびスコアリングし
た結果を表⽰します。
検出されたユーザーの振る舞いに
ついて確認します。
不正操作の疑いがある関連
リソースの情報が表⽰されます。
予定のないリソースへのアクセス
があるかを確認します。
リソースへのアクセス元となるIP
アドレスが表⽰されます。
通常とは異なるIPアドレスからの
アクセスであるかを確認します。
📌 検出されたユーザーが不正利⽤されていないかを調査することで、ユーザーに対する
迅速な処置ができる。【例】︓ ユーザーの“停⽌” または “削除”、等
📌 振る舞いを監視することでユーザーアカウントの乗っ取りなどを把握できる
監視例③︓ ユーザーアカウントの利⽤状況を監視
Cloud Guard 概要

View Slide

Agenda
21

View Slide

前提条件と構成
Cloud Guard 設定⼿順
22
前提条件︓
ü Administratorグループに所属するユーザー（OCI管理者）で実施
ü ルート・コンパートメント（全てのリソース）を対象にCloud Guardの設定および監視
ü オラクルが提供するディテクタ・レシピおよびレスポンダ・レシピを利⽤
ü OCIコンソールの⾔語設定を「⽇本語」に設定
参考⽂献︓ https://docs.oracle.com/ja-jp/iaas/cloud-guard/home.htm（⽇本語サイト）
Tenancy（Tokyo DC）
VCN
Compute
Compartment（Target）
システム構成（例）︓
Object
Storage
Cloud
Guard
Database
Buckets
Block
Storage

View Slide

参考︓ Cloud Guard⽤のグループ作成およびユーザーの追加
Administratorグループに所属しないユーザーがCloud Guardを利⽤する場合、 Cloud Guardを管理する為のグループを作成
および管理対象ユーザーを追加します。
1. テナンシ管理者としてOracle Cloud Infrastructureコンソールにログインします。
2. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「グループ」をクリックします。
3. 「グループの作成」をクリックします。
4. 必要なフィールドに⼊⼒し、「作成」をクリックします。
5. 作成したグループにCloud Guard⽤のユーザーを追加します。
参照︓ https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/prerequisites.htm
23

View Slide

Cloud Guardを利⽤する為の設定を⾏います。
1. 「アイデンティティとセキュリティ」
をクリック
2. 「クラウド・ガード」をクリック
3. 「クラウド・ガードの有効化」を
クリック
24
Cloud Guardの有効化

View Slide

Cloud Guardの全機能を利⽤する為のポリシーを作成します。
25
1. 「ポリシーの作成」をクリック
2. CloudGuardPoliciesの名称でポリシーが
追加されたことを確認し、「次」をクリック

View Slide

Cloud Guardに関する基本情報（レポート・リージョン、監視対象コンパートメント、ディテクタ・レシピ）を選択し、有効化を⾏います。
1. 検出された結果を管理する
「レポート・リージョン」を選択
【補⾜説明】︓
Cloud Guardを有効化した後にレポート・リージョンの変更はできません。
レポート・リージョンを変更する場合、Cloud Guardの無効化が必要に
なる事をご留意してください。
2. ルートコンパートメント（全てのリソース）を
監視対象とする為、「全て」を選択
該当のコンパートメントを選択する場合、「コンパートメント
の選択」より対象コンパートメントを選択
26
3. 各ディテクタ・レシピを以下の様に選択
【構成】︓ OCI Configuration Detector Recipe（Oracle管理）
【アクティビティ】︓ OCI Activity Detector Recipe（Oracle管理）
【脅威】︓ OCI Threat Detector Recipe （Oracle管理）
4. 「有効化」をクリック

View Slide

Cloud Guardが有効化された事を確認します。
27

View Slide

Cloud Guardが有効化されると、現状のセキュリティリスク（概要、問題などの項⽬）が表⽰されます。
【セキュリティ・スコア】
過去30⽇間の監視結果を基に、システムの
保護状態に関する評価が表⽰されます。セキュ
リティ・スコアが⾼いほど優れており、100のセキュ
リティ・スコアはどのリソースに
対しても問題が検出されな
かったことを意味します。
【リスクのスコア】
問題の数と重⼤度に関連します。多くのリソースを持つ組織では、多くの
問題が検出する可能性が⾼く、リスク・スコアも⾼くなります。
多くのリソースがある場合、セキュリティ・スコアが優れていてもリスク・スコア
は⾼くなる可能性があります。
【セキュリティ推奨】
セキュリティとリスクのスコアを改善する為の推奨事項です。
Cloud Guardが検出した最も優先度の⾼い問題を迅速に特定して
解決します。
【問題のスナップショット】
重⼤度レベル別に問題を表⽰し、ドリルダウン
して「問題」ページの各重⼤度レベルから問題の
リストを参照します。
【問題】
コンパートメント、リージョンまたはリソース・タイプ別
に問題を表⽰し、ドリルダウンして「問題」ページに
リストされた問題名から参照します。
【ユーザー・アクティビティの問題】
ソースIPアドレスに基づいて、ユーザー・アクティ
ビティの地理的起点を⽰すマップを表⽰します。
【レスポンダ・ステータス】
Cloud Guardのレスポンダを介して、実⾏された
最近の修正を確認します。

View Slide

Cloud Guardは、ベースラインアプローチによるリソースの設定状況や操作内容などについて監査します。セキュリティ要件・基準を明確
化し、要件・基準に応じたセキュリティ運⽤を⾏うことでセキュリティレベルの向上を実現します。
Cloud Guardの有効的な利⽤⽅法
設定・操作状況
の確認
PDCA
Plan
Do
Action
Check
監査したいポリシー
を選択
クラウドセキュリティ要件・基準の定義
Cloud Guardの監査ポリシーを設定・実⾏
Cloud Guardの監査結果を確認
各種リソースの設定値を⾒直し
n アカウント管理
n ログの監査
n データの暗号化
n 脆弱性管理（パッチ適⽤）
・
・
クラウドセキュリティ要件・基準
OCIドキュメント
VCN
Compute
Object
Storage
IAM
Policy

View Slide

Cloud Guardで検出された問題をOCIの「通知」および「イベント」機能を利⽤して管理者へメール通知します。
先ずは、Cloud Guardの「ターゲット」に設定されている「レスポンダ・レシピ」の設定を確認します。
※ 管理者へのメール通知が不要な場合、本⼿順はスキップしてください
通知とイベントの作成（オプション）
30
※ 社内検証環境の為、コンパートメント名などは伏せております
2. 該当のターゲット名をクリック
3. OCI Responder Recipe（Oracle管理）
をクリック
1. 監視対象コンパートメントを選択

View Slide

Cloud Eventのステータスが「有効」、且つルール・トリガーが「⾃動的に実装」の設定であることを確認します。
設定を変更されている場合は、以下に設定値に合わせてください。
31
デフォルトの状態は以下の通りです。
【ステータス】︓ 有効 / 【ルール・トリガー】︓ ⾃動的に実装
1. Cloud Eventより3つの点をクリックして
「編集」をクリック

View Slide

次に、「通知」よりメールの通知先を設定します。
32
1. 「開発者サービス」をクリック
2. 「通知」をクリック
4. 「トピックの作成」をクリック

View Slide

トピックの作成画⾯にて、通知に関する情報を記⼊します。
33
1. 任意の名前と説明を⼊⼒
2. 「作成」をクリック

View Slide

作成したトピックの詳細画⾯より「サブスクリプション」を作成します。
34
2. 「サブスクリプションの作成」をクリック
3. 電⼦メールを選択
4. 通知先の「メールアドレス」を⼊⼒

View Slide

作成したサブスクリプションの詳細画⾯を確認します。
その後、通知先のメールアドレスに「OCI通知サービスのサブスクリプション」に関する確認メールが届きますので、内容を確認します。
35
1. 「Pending Confirmation」と表⽰
2. 「Confirm subscription」をクリック
3. Subscription confirmedのページが
ブラウザの表⽰

View Slide

「サブスクリプション」が作成されたことを確認します。
以上で、通知先のメールアドレスの設定が完了となります。
36
2. 通知先のメールアドレスが表⽰

View Slide

最後に、「イベント」よりCloud Guardで検出された問題を通知先のメールアドレスに送信する設定を⾏います。
1. 「監視および管理」をクリック
2. 「イベント・サービス」をクリック
37
4. 「ルールの作成」をクリック

View Slide

ルールの作成画⾯にて、Cloud Guardで検出された問題を通知先のメールアドレスに送信できる様、「ルール条件」と「アクション」を
定義します。
2. ルール条件で以下を設定
【条件】︓ イベントタイプ
【サービス名】︓ Cloud Guard
【イベント・タイプ】︓ Detected -Problem
3. アクションで以下を設定
【アクション・タイプ】︓ 通知
【通知コンパートメント】︓ 監視対象コンパートメント
【トピック】︓ P.35で作成したトピック名
38
4. 「ルールの作成」をクリック
Cloud Guardのイベント・タイプは、検出された問題以外もあります。
詳しくは、以下のサイトを参照してください。
https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/export-notifs-
config.htm#export-notifs-events

View Slide

「イベントのルール」が作成されたことを確認します。
以上で、イベントの設定が完了となります。Cloud Guardで問題を検出すると通知先のメールアドレスにメールが送信されます。
39
2. 作成されたルールをクリック
2. 「Detected -Problem」のイベントが
追加されたことを確認
メールを受信
検出される問題が多い場合、⼤量のメールを受信することになる為、
通知とイベントに関しては、運⽤⾯を鑑みて設定することを推奨します。

View Slide

Agenda
40

View Slide

検出されたセキュリティの問題に対応する為、Cloud Guardではコンポーネントを提供しております。各コンポーネントを⽤いて検出された
問題を把握し、効率的に対応することでセキュリティレベルの向上へと繋げます。
【推奨事項】ページ︓
セキュリティリスクの⾼い上位10件の問題が
表⽰されます
【問題】ページ︓
リスク・レベル問わず、検出された問題が⼀覧
表⽰されます
【脅威モニタリング】ページ︓
ユーザーアカウントによる不正操作の疑いが
あるアクティビティについて表⽰されます
Cloud Guardのトップ画⾯（概要ページ）
Cloud Guard 応⽤編
検出された問題の⾒⽅

View Slide

Cloud Guardを初めて利⽤される⽅やどの問題から対応したら良いか分からない場合、「推奨事項」で表⽰される最もクリティカルな
問題（上位10件）から対応してください。不正利⽤などに繋がる可能性がある設定内容を効率的に是正することができます。
Cloud Guard 検出結果と対応
42
「推奨事項」ページからの対応
1. 「推奨事項」をクリック
2. 監視対象とするコンパートメントを選択
3. 該当の推奨事項より3つの点をクリックし
て「問題の表⽰」をクリック
例︓ 「Bucket is public」を選択
該当の問題に関するフィルタが設定された状態で「問題」ページに
遷移します。
問題に関するフィルタが設定
例︓ 問題名= Bucket is public、ターゲット=該当のターゲット名
4. 該当の問題名をクリック

View Slide

「推奨」に記載されている内容を確認し、該当リソースに対して⼿動で設定値を修正します。
以下、「Bucket is public」に関する問題への対応⽅法となります。
2. 推奨に記載されている内容を確認
推奨に記載される内容は英語表記となる為、必要に応じて翻訳
ツールなどを利⽤してください。
1. 該当リソースなどを確認
43

View Slide

「ストレージ」 → 「オブジェクト・ストレージとアーカイブ・ストレージ」より、該当バケットの「可視性」をパブリックからプライベートに変更します。
1. 該当コンパートメントを選択
2. 該当バケットをクリック
3. 「可視性の編集」をクリック
44

View Slide

該当バケットの「可視性」をパブリックからプライベートに変更します。
1. 「プライベート」を選択
2. 「変更の保存」をクリック
45

View Slide

該当バケットの「可視性」がプライベートに変更されたことを確認します。
1. プライベートに変更されたことを確認
2. こちらの画⾯でもプライベートに
変更されたことを確認
46

View Slide

設定内容を修正後、P.44の問題画⾯へと戻り、問題に対する該当のアクション（「解決済みとしてマーク」）を選択します。
今回は、⼿動で設定値を修正した為、「解決済みとしてマーク」の選択となります。
1. 「解決済みとしてマーク」をクリック
2. 任意のコメントを⼊⼒
47

View Slide

「Bucket is public」に関する問題が解決されたことを確認します。
以上で、問題への対応が完了となります。他の検出されている問題でも同じような流れで対応ください。
2. 「問題」をクリック
1. 「解決済」に変更されたことを確認
48
4. ステータスで「解決済」を選択
5. 該当バケットの問題がリストにある
ことを確認

View Slide

49
問題に対するアクションの実⾏は、3つの種類（「修正」、「解決済みとしてマーク」、「終了」）があります。
それぞれの特徴およびURLを以下に記載しておりますので、どのアクションを選択するかの参考にしてください。
修正
「修正」をクリックすることで、Cloud Guardのレスポンダを使⽤してアクションを実⾏します。但し、
レスポンダで対応できない問題もあり、その場合は「修正」ボタンがグレーアウトされています。また、
将来発⽣する同じ問題に対しても同じレスポンダを実⾏してCloud Guardで⾃動解決します。
担当者を介さずにCloud Guardで⾃動解決する為、「ディテクタ・レシピ」および「レスポンダ・
レシピ」に関する知⾒のある⽅向けのアクションとなります。
解決済みとしてマーク
担当者が⼿動で任意のアクションを該当リソースで実⾏します。その後、「解決済みとしてマーク」を
クリックして、修正した該当問題を解決済みにします。
Cloud Guardに関する知⾒が浅い⽅など向けのアクションとなります。（推奨）
終了
「終了」をクリックして問題をクローズします。検出された問題の対応を必要としない場合または同じ
問題を再度検出する必要がない場合などに選択します。
次回以降、同じ問題が検出されなくなる為、セキュリティリスクを鑑みたうえで選択してください。
「推奨事項」ページからの対応〜問題に対するアクションの注意事項〜
【参照】︓ https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/problems-page.htm

View Slide

検出されたセキュリティの問題を⼀覧で把握したうえで、特定の問題に対応したい場合などは「問題」ページへアクセスしてください。
ソート・フィルタ機能を活⽤することで検出された問題を精査し、効率的に対応することができます。
「問題」ページからの対応〜問題を検索する際のソート・フィルタ機能〜
50
【ステータス】
検出された問題のステータスを
選択します。
• オープン︓問題が未処理
• 修正︓レスポンダにて修正済
• 解決︓⼿動などで修正済
• 終了︓処理ぜずにクローズ済
• 削除済︓関連ターゲットが削除
【リソース・タイプ】
検出された問題をリソース・タイプ
別に表⽰します。特定リソースの
問題を把握・対応する場合など
にに利⽤します。
【検出された時間】
検出された問題を特定の⽇付
範囲で表⽰します。デフォルトは
最後に検出された過去30⽇間
の問題が表⽰されます。
【フィルタ】
検出された問題をカテゴリ別に
表⽰します。「リスク・レベル」や
「ディテクタ・タイプ」などで分類し、
リスクの⾼い問題を把握・対応
する場合などにに利⽤します。
【ソート】
「リスク・レベル」、「リソース」、「前回の検出」のカラムで、▲▼印をクリック
することでソートされ、簡単に並び替えができます。

View Slide

検出されたセキュリティの問題を⼀覧で確認します。
必要に応じて、前項で説明したフィルタ機能などを利⽤して問題を精査します。以下、「ディテクタ・タイプ= 構成」でフィルタします。
3. 「フィルタ」より「ディテクタ・タイプ= 構成」を選択
51
4. 「ディテクタ・タイプが「構成」に
絞り込まれたことを確認
「問題」ページからの対応

View Slide

また、リスク・レベルの⾼い問題から対応する場合、フィルタ機能に加え「リスク・レベル」でソートします。
リスク・レベルの⾼い問題は不正利⽤などに繋がる可能性がある為、早めに問題を把握し、対応することを推奨します。
1. 「リスク・レベル」のカラムで、▲▼印をクリックし、
レベルの⾼い順に並び替え
2. 該当の問題名をクリック
52

View Slide

「推奨」に記載されている内容を確認し、該当リソースに対して⼿動で設定値を修正します。
以下、「VCN Security list allows traffic to restricted port」に関する問題への対応⽅法となります。
53
2. 推奨に記載されている内容を確認【補⾜説明】︓
推奨に記載される内容は英語表記となる為、必要に応じて翻訳
ツールなどを利⽤してください。
1. 該当リソースなどを確認
3. 現在、VCNのセキュリティリストでオープン
しているTCP/UCPポート番号を確認

View Slide

「ネットワーキング」 → 「仮想クラウド・ネットワーク」 → 「該当コンパート」 → 「該当VCN」 → 「該当セキュリティ・リスト」で設定されて
いるイングレス・ルールを⾒直します。
1. 「イングレス・ルール」をクリック
2. 「宛先ポート範囲」を確認
54
3. 各レシピより3つの点をクリックして
「編集」または「削除」をクリック
検出されたポートがこのセキュリティ・リストのイングレス・ルールでオープンする必要が
あるかを確認し、開く必要がない場合は閉じます。または、ユーザー環境で使⽤して
いるポートを監査対象外とする場合、構成ディテクタ・レシピを編集することで問題
として検出されなくなります。
編集⽅法については、P.80 「構成ディテクタ・レシピの編集」を参照してください。

View Slide

イングレス・ルールを修正後、P.54の問題画⾯へと戻り、問題に対する該当のアクション（「解決済みとしてマーク」）を選択します。
今回は、イングレス・ルールを編集または削除したと事とし、「解決済みとしてマーク」の選択となります。
2. 任意のコメントを⼊⼒
55
問題の検出を監視対象外とする場合、「終了」をクリックします。
「修正」に関する内容については、P.50 「問題に対するアクションの注意事項」
を参照してください。

View Slide

「VCN Security list allows traffic to restricted port」に関する問題が解決されたことを確認します。
以上で、問題への対応が完了となります。他の検出されている問題でも同じような流れで対応ください。
4. ステータスで「解決済」を選択
1. 「解決済」に変更されたことを確認
5. 該当VCNセキュリティ・リストの問題が
リストにあることを確認
56

View Slide

リソースに対して「破壊⽬的での使⽤」や「その可能性を⽰しているアクティビティ」などのパターンを分析し、ユーザーアクティビティに関する
リスク・スコアが表⽰されます。ユーザーアカウントの不正利⽤を調査したい場合などは、「脅威モニタリング」ページへアクセスしてください。
「脅威モニタリング」ページからの対応
57
1. 「脅威モニタリング」をクリック
2. ルート・コンパートメントを選択
リスク・スコアは、過去14⽇間の最⾼リスク・スコアに基づいて割り当て
られます。また、リスク・スコアが閾値（80）を超えると問題として識別
され、「問題」ページに脅威ディテクタ・タイプとして表⽰されます。
3. 上部のチャートや「リスクのスコア」を
参考に調査するユーザーをクリック
表⽰されるチャートの表⽰を選択します。
デフォルトでは、過去30⽇間に上位10の
リスク・スコアが表⽰されます。
リスク・スコアを基に、不正操作の疑いがある
ユーザーアカウントを絞り込みます。リスク・スコアが
⾼い程、ユーザーアカウントが乗っ取られている
可能性がある為、リスク・スコアの⾼いユーザー
アカウントから調査することを推奨します。

View Slide

該当のユーザーアカウントにおける脅威モニタリング状況を「観察」、「影響を受けるリソース」、「エンドポイント」の観点で表⽰します。
各観点での調査より、不正操作の疑いやユーザーアカウントが乗っ取られていないかを確認します。
58
【観察】
ディテクタ・ルールに基づいた操作状況を分析およびスコアリングした結果
を表⽰します。スコアリングでは攻撃を⽰す可能性と攻撃における深刻度
で評価されます。
不正操作された疑いがある関連リソースの情報が表⽰されます。
リソースへのアクセス元となるIPアドレスが表⽰されます。

View Slide

ディテクタ・ルールに基づいた操作状況を分析およびスコアリング（重⼤度と信頼の評価を他の要因と組み合せて観察スコアを数値化）
します。検出されたユーザーアカウントの振る舞いについて確認し、予定されたリソースへの操作内容であるかを調査します。
1. 「概要」をクリック
2. 疑わしい観察タイプをクリック
【補⾜説明】
「観察タイプ」および「重⼤度、信頼、観察スコア」を参考に疑わしい操作内容の詳細を
確認します。重⼤度および信頼の評価については、以下のサイト内にある「ディテクタ・
レシピ・リファレンス - OCI脅威ディテクタ・ルール」を参照してください。
https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/detect-recipes.htm
「脅威モニタリング」ページからの対応〜概要〜
59
3. 予定されたリソースへの操作内容
であるか確認

View Slide

不正操作された疑いがある関連リソースの情報が表⽰されます。予定されていないリソースへのアクセスがあるかを確認し、リソースに対
する影響を調査します。
「脅威モニタリング」ページからの対応〜影響を受けるリソース〜
60
1. 「影響を受けるリソース」をクリック
2. 予定されていないリソースへのアクセス
があるかを確認
【補⾜説明】
ネットワークリソースへのアクセスが多い場合などは、アクセス制御の設定が脆弱
になっていないか︖などの調査を⾏ってください。

View Slide

リソースへのアクセス元となるIPアドレスが表⽰されます。通常とは異なるIPアドレスからのアクセスであるか、どのサービスにアクセスされたか
などを確認し、ユーザーアカウントが乗っ取られていないかを調査します。
1. 「エンドポイント」をクリック
2. 通常とは異なるIPアドレス（場所）からの
アクセスがあるかを確認
「脅威モニタリング」ページからの対応〜エンドポイント〜
61
3. どのサービスにアクセスされたかも合わせて
確認
【補⾜説明】
通常とは異なるIPアドレスがある場合、物理的に移動できる距離からのアクセス
であるか︖、異なるIPアドレスを利⽤する必要があるのか︖などの調査を⾏って
ください。

View Slide

リスク・スコアの閾値（80）を超えるとCloud Guardが問題として識別し、「問題」ページに「Rogue User」として表⽰されます。
「脅威モニタリング」で能動的に調査ができていない場合でも「問題」で検出された際は、前項の内容を沿って調査を⾏ってください。
問題への対応⽅法は、P.51 「「問題」ページからの対応」を参照
ください。
3. 「フィルタ」より「ディテクタ・タイプ= 脅威」を選択
62
4. 「Rogue User」をクリック

View Slide

Agenda
63

View Slide

Ø ターゲットの管理
Cloud Guardでの監視対象となるコンパートメント（範囲）を定義したり、監視に利⽤するレシピを変更することができます。
ルート・コンパートメント以外にも、特定のコンパートメントのみを監視対象にすることも可能です。
また、Security Zonesが設定されたターゲットの詳細も表⽰できます。
https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/targets.htm
Ø ディテクタ・レシピの管理
ディテクタ・レシピの表⽰、クローニングおよび変更することができます。ディテクタ・レシピで定義されているディテクタ・ルールに従って、
リソースの構成またはアクティビティに関する潜在的なセキュリティの問題を識別します。
https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/detect-recipes.htm
Ø レスポンダ・レシピの管理
レスポンダ・レシピの表⽰、クローニングおよび変更することができます。レスポンダ・レシピは、Cloud Guardで問題が検出された際に
Cloud Guardで実⾏するアクションを定義します。
https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/respond-recipes.htm

View Slide

監視対象となるコンパートメント（範囲）を定義します。
ルート・コンパートメント以外にも、特定のコンパートメントに対して監視対象を構成することが可能です。
1. 「ターゲット」をクリック
3. 「新規ターゲットの作成」をクリック
ターゲットの管理
65

View Slide

監視対象となるコンパートメントおよび問題の検出・対応する為の各種レシピを設定します。
3. 各レシピより任意のディテクタ・レシピ、レスポンダ・レシピを選択
レシピの選択では、「Oracle管理のレシピ」または「任意のレシピ」より選択
します。「任意のレシピ」の作成⽅法は、P.75 「ディテクタ・レシピの管理」
および P.84 「レスポンダ・レシピの管理」を参照してください。
66

View Slide

設定したターゲットの詳細が表⽰され、監視対象のコンパートメントにターゲットが作成されたことを確認します。
2. 監視対象のコンパートメントを選択
3. ターゲットが作成されたことを確認
67

View Slide

また、ターゲットでは、ターゲットに設定されている既存レシピの変更が可能です。現在、設定されているレシピから新たなレシピに変更
したい場合などに必要となる⼿順です。先ずは、設定されている「ディテクタ・レシピ」を削除します。
例︓ 「Oracle管理のレシピ」から「任意のレシピ」に変更
3. 該当の「ターゲット」をクリック
5. 各レシピより3つの点をクリックして
「削除」をクリック
4. 「ディテクタ・レシピ」をクリック
ターゲットの管理〜レシピの変更〜
68

View Slide

次に、設定されている「レスポンダ・レシピ」を削除します。
例︓ 「Oracle管理のレシピ」から「任意のレシピ」に変更
3. 該当の「ターゲット」をクリック
69
5. レシピより3つの点をクリックして
「削除」をクリック
4. 「レスポンダ・レシピ」をクリック

View Slide

ターゲットに設定されていた「ディテクタ・レシピ」と「レスポンダ・レシピ」が削除されたことを確認します。
70
2. 各ディテクタ・レシピが削除されたことを確認 4. レスポンダ・レシピが削除されたことを確認

View Slide

「ディテクタ・レシピ」と「レスポンダ・レシピ」が削除されたことで、新たなレシピを設定することが可能になります。
先ずは、「ディテクタ・レシピ」を追加します。
2. 「レシピの追加」をクリック
3. 各レシピより任意のディテクタ・レシピを選択
71

View Slide

次に、「レスポンダ・レシピ」を追加します。
3. 任意のレスポンダ・レシピを選択
72

View Slide

新たに設定した「ディテクタ・レシピ」と「レスポンダ・レシピ」がターゲットに追加され、「Oracle管理のレシピ」から「任意のレシピ」に変更
されたことを確認します。レシピの修正⽅法については、P.75 「ディテクタ・レシピの管理」および P.84 「レスポンダ・レシピの管理」を
参照してください。
2. 各ディテクタ・レシピが追加されたことを確認
4. レスポンダ・レシピが追加されたことを確認
73

View Slide

Oracle管理のディテクタ・レシピでは、個々のディテクタ・ルールに対して、ステータスの変更（有効/無効）などが出来ません。
個々のディテクタ・ルールに対して、ステータスの変更（有効/無効）を⾏いたい場合、Oracle管理のレシピが保管されているルート・
コンパートメントより既存レシピのクローンを作成して、任意のディテクタ・レシピにて管理する必要があります。
2. Oracle管理のレシピが保管されている
ルート・コンパートメントを選択
ディテクタ・レシピの管理
3. 「クローン」をクリック
4. 次ページ以降で、各ディテクタ・レシピ
のクローンを作成

View Slide

リソースの構成に関するディテクタ・レシピ（OCI Activity Detector Recipe（Oracle管理））のクローンを作成します。
1. クローン元となるOCI Configuration Detector
Recipe（Oracle管理）を選択
3. クローンの保存先となる任意のコンパートメントを選択
4. 「クローン」をクリック【補⾜説明】︓
クローンの保存先ついては、運⽤・管理⾯を考慮してターゲットと
同じコンパートメントで管理されることを推奨します。

View Slide

リソースのアクティビティに関するディテクタ・レシピ（OCI Configuration Detector Recipe（Oracle管理））のクローンを作成しま
す。
1. クローン元となるOCI Activity Detector Recipe
（Oracle管理）を選択

View Slide

リソースの脅威に関するディテクタ・レシピ（OCI Threat Detector Recipe（Oracle管理））のクローンを作成します。
1. クローン元となるOCI Threat Detector Recipe

View Slide

クローンの保存先となったコンパートメントに「構成、アクティビティ、脅威のディテクタ・レシピ（クローン）」が作成されたことを確認します。
3. 構成/アクティビティ/脅威ディテクタ・レシピのクローンが
作成されたことを確認
78
クローンされたディテクタ・レシピは、「Oracle管理」欄が「いいえ」で
表⽰されます。

View Slide

任意のディテクタ・レシピを⽤いて、ディテクタ・ルールに対する“ステータス（有効/無効）” や “リスク・レベル”などの変更が⾏えます。
オラクルで事前定義した設定値を編集したい場合などの参考にしてください。
以下、リソースの構成に関するディテクタ・レシピの修正⽅法となります。
4. 設定変更したいディテクタ・ルールより
3つの点をクリックして「編集」をクリック
ディテクタ・レシピの管理〜構成ディテクタ・レシピの編集〜
2. クローンで作成された任意のレシピが
保管されているコンパートメントを選択
3. 「構成」のディテクタ・レシピをクリック

View Slide

以下、「VCN Security list allows traffic to restricted port」のディテクタ・ルールを基に例⽰します。
当該ディテクタ・ルールを「有効/無効」、リスク・レベルを「クリティカル、⾼、中、低」に変更する場合、以下の設定となります。
80
1. ディテクタ・ルールを有効または無効に変更したい場合
「ステータス」より選択
2. リスク・レベルを変更したい場合、「リスク・レベル」より選択
【リスク・レベル】︓ クリティカル、⾼、中、低

View Slide

更に、「VCN Security list allows traffic to restricted port」のディテクタ・ルールでは、ポート制限に関する変更もできます。
ユーザー環境で使⽤しているポートを監査対象外とする場合、「Restricted Protocol:Ports List」のポート番号を変更します。
「アクティブディテクタ・レシピ」および「脅威ディテクタ・レシピ」においても同様の⼿順でディテクタ・ルールの編集が可能です。
81
1. ポート制限を変更したい場合、⼊⼒設定の「Restricted
Protocol:Ports List 」よりポート番号を変更
ディテクタ・ルールによっては、「⼊⼒設定」の画⾯がないものあります。
「⼊⼒設定」のあるディテクタ・ルールは、「構成済みの設定」欄に「はい/いいえ」が設定
されています。

View Slide

ディテクタ・レシピの編集には、「ディテクタ・レシピ」メニューから編集と「ターゲット」メニュー内のディテクタ・レシピから編集の2つの⽅法が
あります。それぞれで編集できる内容が異なりますので、ご注意ください。
「ディテクタ・レシピ」メニューから編集「タッゲート」メニュー内のディテクタ・レシピから編集
こちらのディテクタ・レシピでは、「ステータスの変更」、「リスク・レベルの変更」
「⼊⼒設定」の変更を⾏うことは出来ません。
グレーアウトされて表⽰
「ステータスの変更」、「リスク・レベルの変更」、「⼊⼒設定」の変更したい場合
こちらのディテクタ・レシピから編集。
ディテクタ・レシピの管理〜ディテクタ・レシピの編集における注意事項〜
82

View Slide

Oracle管理のレスポンダ・レシピでは、個々のレスポンダ・ルールに対して、ステータスの変更（有効/無効）が出来ません。
個々のレスポンダ・ルールに対して、ステータスの変更（有効/無効）などを⾏いたい場合、Oracle管理のレシピが保管されているルート・
コンパートメントより既存レシピのクローンを作成して、任意のレスポンダ・レシピにて管理する必要があります。
2. Oracle管理のレシピが保管されている
ルート・コンパートメントを選択
3. 「クローン」をクリック
レスポンダ・レシピの管理

View Slide

Cloud Guardで問題を検出した際の対応に関するレスポンダ・レシピ（OCI Responder Recipe（Oracle管理））のクローンを
作成します。
1. クローン元となるOCI Responder Recipe

View Slide

クローンの保存先となったコンパートメントに「レスポンダ・レシピ（クローン）」が作成されたことを確認します。
3. レスポンダ・レシピのクローンが作成されたことを確認
85
クローンされたレスポンダ・レシピは、「Oracle管理」欄が「いいえ」
で表⽰されます。

View Slide

任意のレスポンダ・レシピを⽤いて、レスポンダ・ルールに対するステータス（有効/無効）などの変更が⾏えます。
オラクルで事前定義した設定値を編集したい場合などの参考にしてください。
以下、「Make Bucket Private」のレスポンダ・ルールの修正⽅法となります。
2. クローンで作成された任意のレシピが
保管されているコンパートメントを選択
3. 該当のレスポンダ・レシピをクリック
レスポンダ・レシピの管理〜レスポンダ・レシピの編集〜

View Slide

「Make Bucket Private」のレスポンダ・ルールのステータスを変更（有効/無効）する場合、以下の設定となります。
1. レスポンダ・ルールを有効または無効に変更したい場合
「ステータス」より選択

View Slide

また、レスポンダ・ルールでは、Cloud Guardで問題を検出した際、問題を⾃動修復することもできます。
問題を⾃動修復する為の設定は、「ターゲット」メニュー内にあるレスポンダ・レシピより編集します。
1. 「ターゲット」をクリック 3. 編集したいレスポンダ・レシピが管理されている
ターゲットをクリック

View Slide

該当のレスポンダ・レシピより、「Make Bucket Private」のレスポンダ・ルールを編集します。
1. 該当のレスポンダ・レシピをクリック

View Slide

Cloud Guardが問題を⾃動修復できる様に「必要なポリシー・ステートメント」および「設定」の項⽬を編集します。
以下の内容を設定することで、パブリック・バケットが検出された場合、⾃動的にプライベート・ベケットへの設定変更を⾏います。
1. 「ステートメントの追加」をクリック
Cloud Guardが⾃動修復する際、該当リソースに対する設定変更を
⾏います。その為、ポリシーステートメントに表⽰さているポリシーの追加
が必要となります。
2. 「⾃動的に実⾏」を選択
「⾃動的な実⾏の確認」にチェック

View Slide

⾃動修復のレスポンダ・ルールは、#2〜10が対象となります。
レスポンダ・ルールがどのディテクタ・ルールには対応するかは、ディテクタ・ルールの説明内に「関連付けられたレスポンダ」が表⽰され、且つ
関連するレスポンダ・ルール名も表⽰されます。⾃動修復の設定を⾏う際は、どのディテクタ・ルールで対応するのかを事前に確認ください。
# レスポンダ・ルールレスポンダ・ルール（翻訳版）
1 Cloud Event クラウドイベント
2 Delete IAM Policy IAMポリシーを削除する
3 Delete Internet Gateway インターネットゲートウェイを削除する
4 Delete Public IP(s) パブリックIPを削除します
5 Disable IAM User IAMユーザーを無効にする
6 Enable DB Backup DBバックアップを有効にする
7 Make Bucket Private バケットをプライベートにする
8 Rotate Vault Key ボールトキーをローテーション
9 Stop Compute Instance コンピューティングインスタンスの停⽌
10 Terminate Compute Instance コンピューティングインスタンスを終了します
レスポンダ・レシピの管理〜レスポンダ・レシピの編集における注意事項〜
「Bucket is public」のディテクタ・レシピ
「User does not have MFA enabled」のディテクタ・レシピ
【⾃動修復の対象】
「Make Bucket Private」が関連付けられている
【⾃動修復の対象外】
「関連付けられたレスポンダ」の表記がない

View Slide

レスポンダ・レシピの編集には、「レスポンダ・レシピ」メニューから編集と「ターゲット」メニュー内のレスポンダ・レシピから編集する2つの
⽅法があります。それぞれで編集できる内容が異なりますので、ご注意ください。
「レスポンダ・レシピ」メニューから編集「タッゲート」メニュー内のレスポンダ・レシピから編集
「ポリシー・ステートメント」や「ルール・トリガー」を設定する場合
「ステータス」を変更する場合
レスポンダ・レシピの管理〜レスポンダ・レシピの編集における注意事項〜

View Slide

View Slide

Cloud Guard設定・操作ガイド

Cloud Guard設定・操作ガイド

oracle4engineer
PRO

More Decks by oracle4engineer

Other Decks in Technology

Featured

Transcript

Cloud Guard設定・操作ガイド

Cloud Guard設定・操作ガイド

oracle4engineer PRO

More Decks by oracle4engineer

Other Decks in Technology

Featured

Transcript

oracle4engineer
PRO