Cloud Guardに関する機能説明およびCloud Guardの設定・操作に関するガイド付き。機能の拡充などに伴い、資料を更新。
Cloud Guard設定・操作ガイド2023年8⽉31⽇⽇本オラクル株式会社クラウド・エンジニアリング統括 COE本部セキュリティ&マネージメント・ソリューション部
View Slide
1. Cloud Guard 概要2. Cloud Guard 設定⼿順📌 前提条件と構成📌 Cloud Guardの有効化📌 通知とイベントの作成3. Cloud Guard 検出結果と対応📌 「推奨事項」ページからの対応📌 「問題」ページからの対応📌 「脅威モニタリング」ページからの対応4. Cloud Guard 応⽤編📌 ターゲットの管理📌 ディテクタ・レシピの管理📌 レスポンダ・レシピの管理AgendaCopyright © 2023, Oracle and/or its affiliates.2
クラウドの設定ミスによる情報漏洩を防⽌サービス概要/特徴• OCIで展開されているサービスの設定内容やOCIユーザーのアクティビティを監視することで安全なクラウド運⽤を実現• 事前定義されたディテクタ・レシピに基づいて、セキュリティインシデントに繋がる可能性があるセキュリティリスクを可視化• ディテクタ・レシピは定期的に更新され、新たなセキュリティリスクにも対応• 検出された問題はリスクレベルで評価し、テナント全体の健全性をスコアリングユース・ケース• テナント全体を監視対象とし、各リソースに脆弱な設定がないか︖、ユーザーによる不正操作がないか︖を監視• 現状のセキュリティリスクを可視化し、脆弱性な設定値の⾒直しや操作プロセスなどの⾒直し• オブジェクト・ストレージからの情報漏洩を懸念して、設定値がパブリックとなった際、検出から修復までを⾃動化• セキュリティリスクの⾼い問題が検出された場合、管理者へメール通知して迅速な対応を⾏うサービス価格• 無償Cloud Guard 概要Copyright © 2023, Oracle and/or its affiliates.3Cloud Guard VaultScanningVCN, LoadBalancerCompute,StoragesDatabasesIAM問題の検出 アクション実⾏リスク評価
動作フローCloud Guard 概要Copyright © 2023, Oracle and/or its affiliates.4DetectorsPublicInstanceTOR log-inPublic Bucket監視対象となるリソースの設定やユーザーアクテビティについて、事前定義されたディテクタ・レシピに基づいて問題を検出RespondersStop InstanceSuspend UserDisable Bucket検出された問題に関する通知および対応⽅法を提供Targets Problemsリソースの設定やユーザーアクテビティにおいて、潜在的なセキュリティの問題がある場合、リスクレベルを分類して掲⽰監視対象とするコンパートメント(リソースの範囲)を設定。コンパートメントとその配下の構成が監視対象。
検出ロジックCloud Guard 概要Copyright © 2023, Oracle and/or its affiliates.5事前定義されたディテクタ・レシピを基に監査ログより操作状況および各リソースより設定状況を監視し、問題点を検出します。ü ディテクタ・レシピは3種類Ø 構成ディテクタ・レシピØ アクテイビティ・ディテクタ・レシピØ 脅威ディテクタ・レシピü 監視対象となるターゲットに対してディテクタ・レシピを設定ü ディテクタ・レシピで定義された項⽬と実際の設定状況や操作状況などを監視して、セキュリティリスクを可視化監査ログComputeObject StorageNetworkingetc操作状況を監視設定状況を監視Cloud GuardDetectors脅威ディテクタ・レシピ構成ディテクタ・レシピアクティビティディテクタ・レシピ
ディテクタ・レシピのクローンü ディテクタ・レシピは、具体的な検出ルールを定義したルールセットØ 構成ディテクタ・レシピ: オブジェクトストレージやVCNなどのOCIの各サービス設定に関する検出ルールØ アクテイビティ・ディテクタ・レシピ: VCNのセキュリティルール変更やユーザーのグループ追加などのリソース操作に関する検出ルールØ 脅威ディテクタ・レシピ︓ 不正操作の疑いがあるユーザーアカウントに関する検出ルールü Oracleマネージドとして提供され、ルールの新規追加やアップデートは適宜実施ü Oracleマネージドレシピをクローンすることで、ユーザー環境に合わせた設定(Enable/Disable)が可能Cloud Guard 概要Copyright © 2023, Oracle and/or its affiliates.6User Managed RecipeOracle Managed Recipeクローンの作成Bucket is public ENABLED HIGHKMS Key not rotated ENABLED MEDIUMInstance has public IPaddressENABLED CRITICALBucket is public DISABLED HIGHKMS Key not rotated ENABLED HIGHInstance has public IPaddressENABLED CRITICAL
構成ディテクタ・レシピ(⼀例)Cloud Guard 概要Copyright © 2023, Oracle and/or its affiliates.7# ディテクタ・ルール ディテクタ・ルール(翻訳) リスク・レベル1 Load balancer SSL certificate expiring soon ロードバランサのSSL証明書の期限切れが近づいています クリティカル2 Bucket is public バケットがパブリックです クリティカル3 Database version is not sanctioned データベースのバージョンが認可されていません クリティカル4 Database System version is not sanctioned データベースシステムのバージョンが認可されていません クリティカル5 Instance is publicly accessible インスタンスはパブリックにアクセスできます クリティカル6 VCN Security list allows traffic to non-public port from all sources (0.0.0.0/0) VCNセキュリティリストで、すべてのソース(0.0.0.0/0)から⾮パブリックポートへのトラフィックが許可されていますクリティカル7 VCN Security list allows traffic to restricted port VCNセキュリティリストで制限ポートへのトラフィックが許可されています クリティカル8 Scanned host has open ports スキャンされたホストにオープンポートがあります クリティカル9 Scanned host has vulnerabilities スキャンされたホストに脆弱性があります クリティカル10 Database System is publicly accessible データベースシステムはパブリックにアクセスできます クリティカル11 Database System has public IP address データベースシステムにパブリックIPアドレスがあります ⾼12 Database is not backed up automatically データベースが⾃動的にバックアップされません ⾼13 Instance has a public IP address インスタンスにパブリックIPアドレスがあります ⾼14 NSG ingress rule contains disallowed IP/port NSGイングレスルールに許可されていないIP/ポートが含まれます ⾼15 Load balancer allows weak SSL communication ロードバランサで強度の弱いSSL通信が許可されています ⾼16 Load Balancer has public IP address ロードバランサにパブリックIPアドレスがあります ⾼17 Data Safe is not enabled DataSafeが有効ではありません ⾼18 Database patch is not applied データベースパッチが適⽤されていません 中19 Block Volume is not attached ブロックボリュームがアタッチされていません 中20 Database system patch is not applied データベースシステムパッチが適⽤されていません 中21 Instance is running without required Tags インスタンスが必須必タグなしで実⾏されています 中22 Key has not been rotated キーがローテーションされていません 中23 API key is too old APIキーが古すぎます 中24 IAM group has too many members IAMグループのメンバーが多すぎます 中
アクティビティ ディテクタ・レシピ(⼀例)Cloud Guard 概要Copyright © 2023, Oracle and/or its affiliates.8# ディテクタ・ルール ディテクタ・ルール(翻訳) リスク・レベル1 Suspicious Ip Activity 疑わしいIPアクティビティ クリティカル2 VCN Network Security Group Deleted VCNネットワークセキュリティグループが削除されました ⾼3 Instance terminated インスタンスが終了しました ⾼4 Database System terminated データベースシステムが終了しました ⾼5 Intermediate Certificate Authority (CA) revoked 中間認証局(CA)が取り消されました ⾼6 VCN Local Peering Gateway changed VCNローカルピアリングゲートウェイが変更されました 中7 VCN Route Table changed VCNルート表が変更されました 中8 VCN DHCP Option changed VCN DHCPオプションが変更されました 中9 VCN Security List deleted VCNセキュリティリストが削除されました 中10 VCN Internet Gateway created VCNインターネットゲートウェイが作成されました 中11 VCN deleted VCNが削除されました 中12 VCN Network Security Group ingress rule changed VCNネットワークセキュリティグループのイングレスルールが変更されました 中13 VCN Network Security Group egress rule changed VCNネットワークセキュリティグループのエグレスルールが変更されました 中14 VCN Security List ingress rules changed VCNセキュリティリストのイングレスルールが変更されました 中15 VCN Security List egress rules changed VCNセキュリティリストのエグレスルールが変更されました 中16 Certificate Authority (CA) deleted 認証局(CA)が削除されました 中17 Subnet Changed サブネットが変更されました 低18 Subnet deleted サブネットが削除されました 低19 Update Image イメージの更新 低20 VCN Security List created VCNセキュリティリストが作成されました 低21 VCN Internet Gateway terminated VCNインターネットゲートウェイが終了しました 低22 VCN created VCNが作成されました 低23 Security policy modified セキュリティポリシーが変更されました 低24 IAM User capabilities modified IAMユーザーの機能が変更されました 低
9 Copyright © 2023, Oracle and/or its affiliates.※ https://attack.mitre.org/techniques/enterprise/ディテクタ ルール ⼿法 ※ 説明不正ユーザー不可能な移動(Impossible Travel)Initial AccessValid Accounts: Cloud Accounts (T1078.004)悪意のあるクラウド・アカウントの資格証明を取得して不正使⽤し、制限されたリソースへのアクセスを提供できます。正当な資格証明の不正な使⽤を検出する⽅法の1つは、アクセス間の期間が短すぎて物理的に不可能になった場合に、異なる地理的な場所から同じアカウントによるアクセスを識別することです。パスワード推測(Password Guessing)Credential AccessPassword Guessing (T1110.001)1⼈のユーザーに対する総当たり攻撃。正当な資格証明に関する知識がなくても、パスワードによってアカウントへのアクセスが試⾏される可能性があります。アカウントのパスワードがわからない場合は、反復的なメカニズム、または⼀般的なパスワードのリストを使⽤して、パスワードを体系的に推測できます。攻撃者の⾃動プロセスに、失敗した認証試⾏間の⼗分な組み込み待機時間がある場合、アカウントのロックアウトは発⽣しません。パスワードのスプレー(Password Spraying)Credential AccessPassword Spraying (T1110.003)複数のユーザーに対して、正当な資格証明に関する知識がなくても、複数のユーザーに対するブルート・フォース攻撃では、パスワードを使⽤してアカウントにアクセスを試みる可能性があります。逆仕訳では、多数の異なるアカウントに対して⼀般的に使⽤されるパスワードの単⼀または少数のリストを使⽤して、有効なアカウント資格証明の取得を試みることができます。ログインは多くの異なるアカウントに対して試⾏され、多数のパスワードを持つ1つのアカウントを強制的に実⾏するときに通常発⽣するロックアウトを回避します。事前認証済リクエスト(PAR)の昇格数(Elevated Number Of PARs)ExfiltrationExfiltration to Cloud Storage (T1567.002)事前認証済リクエストの異常作成。事前認証済リクエストは、ユーザーが独⾃の資格証明を持たないプライベート・バケットまたはオブジェクトにアクセスできるようにする⼿段を提供します。これにより、攻撃者はコマンドや制御チャネルを経由せずにデータを漏洩する可能性があります。脅威ディテクタ・レシピCloud Guard 概要
10 Copyright © 2023, Oracle and/or its affiliates.※ https://attack.mitre.org/techniques/enterprise/ディテクタ ルール ⼿法 ※ 説明不正ユーザー⾼度なアクセス(Elevated Access)Privilege EscalationValid Accounts: Cloud Accounts (T1078.004)攻撃者は、初期アクセス、永続性、特権昇格または防御回避を利⽤して、クラウドアカウントの資格情報を取得し、悪⽤する可能性があります。クラウドアカウントが悪⽤されると、攻撃者はアカウント操作を実⾏して(例えば、追加のクラウドロールを追加することにより)、永続性を維持し、特権にエスカレートする可能性があります。減損防⽌(Impair Defenses)Defense Evasion (TA0005)Impair Defenses: Disable or Modify Tools(T1562.001)攻撃者は、マルウェア/ツールおよびアクティビティの検出を回避する為に、セキュリティツールを変更および/または無効にすることができます。 これには、セキュリティソフトウェアプロセスやサービスの強制終了、レジストリキーや構成ファイルの変更/削除によるツールの正常な動作の停⽌、セキュリティツールのスキャンや情報の報告を妨げるその他の⽅法など、さまざまな形態があります。永続性(Persistence)Persistence (TA0003)Account Manipulation: Additional CloudCredentials (T1098.001)攻撃者が制御するクレデンシャルをクラウドアカウントに追加して、環境内の被害者のアカウントとインスタンスへの永続的なアクセスを維持できます。例えば、Azure ADの既存の正当なクレデンシャルに加えて、サービスプリンシパルとアプリケーションのクレデンシャルを追加できます。 これらの資格情報には、x509キーとパスワードの両⽅が含まれます。 ⼗分なアクセス許可があれば、Azureポータル、Azureコマンドラインインターフェイス、AzureまたはAzPowerShellモジュールなど、さまざまな⽅法で資格情報を追加できます。脅威ディテクタ・レシピCloud Guard 概要
レスポンダ・レシピCloud Guard 概要Copyright © 2023, Oracle and/or its affiliates.11n Cloud Guardが検出した問題に対して、修正するアクションを決定n 2種類のレスポンダで構成(右記の参照)Ø 【Notification】: 検出された問題をユーザーに送信Ø 【Remediation】: 検出された問題に対して⾃動修正を実⾏n レスポンダの実⾏した結果は、Auditイベントとして記録# レスポンダ・ルール レスポンダ・ルール(翻訳版)1 Cloud Event クラウドイベント2 Delete IAM Policy IAMポリシーを削除する3 Delete Internet Gateway インターネットゲートウェイを削除する4 Delete Public IP(s) パブリックIPを削除します5 Disable IAM User IAMユーザーを無効にする6 Enable DB Backup DBバックアップを有効にする7 Make Bucket Private バケットをプライベートにする8 Rotate Vault Key ボールトキーをローテーション9 Stop Compute Instance コンピューティングインスタンスの停⽌10 Terminate Compute Instance コンピューティングインスタンスを終了します参照︓ 「Bucket is public」のディテクタ・レシピResponder Recipe
検出した問題に対するライフサイクルCloud Guard 概要Copyright © 2023, Oracle and/or its affiliates.12ü 検出した問題は、以下の⽅法より対応Ø 【修正】︓ Cloud Guardのレスポンダを使⽤して対応Ø 【解決済みとしてマーク】︓ 担当者が⼿動で対応Ø 【終了】︓ 終了済みとして問題をクローズ※ 意図的に設定している場合ü 問題を再度検出した場合︓Ø 未解決の問題は、問題の履歴が更新されるØ 以前に「解決済みとしてマーク」した問題は、問題として再度オープンされ、履歴が更新されるØ 以前に「終了」した問題は、問題として再度オープンされずに履歴が更新されるü 問題への対応は、セキュリティスコアに反映されるFindingOpenResolvedDismissedDismissed problemupdated finding, but notre-openedResolvedproblemreopenedfromfindingNew findingMarkedresolvedorremediatedby responderMarkeddismissed
13 Copyright © 2023, Oracle and/or its affiliates.検出された問題Cloud GuardダッシュボードCloud Guard 概要検出結果のイメージ
問題の検出から修正までの流れCopyright © 2023, Oracle and/or its affiliates14Cloud Guard 概要ディテクター検出ルールのトリガーとして、“バケットがパブリックに設定変更”された際に問題として認識(重⼤度︓クリティカル)“バケットがパブリック”(重⼤度︓クリティカル)プロブレム「クラウドイベント」は有効か?=> YesレスポンダーCloud Guardオペレーター問題を修正するか︖=> Yesレスポンダーレスポンダがバケットをプライベートに設定変更重⼤なリスクユーザーがバケットをパブリックに設定バケットOCI EventsOCI FunctionsOCI Notifications「バケットをプライベートにする」が有効か︖=> Yesバケット
オブジェクト・ストレージのプライベート設定をパブリック設定に変更されることで重要データの漏えいに繋がる可能性がある為、操作ミスや不正操作などによるオブジェクト・ストレージにの設定変更を検出し、且つ⾃動修復(パブリックからプライベートへの設定変更)までを実施することでリスクを抑⽌する。【補⾜】︓ ⾃動修復を設定していない場合問題 → ステータスで「オープン」を選択すると、“Bucket is public”が検出結果として表⽰される。検出のみの場合 検出+⾃動修復の場合【補⾜】︓ ⾃動修復を設定している場合問題 → ステータスで「解決済」を選択すると、“Bucket is public”が対応結果として表⽰される。(Cloud Guardが⾃動修復した為「オープン」に検出結果は表⽰されない)15 Copyright © 2023, Oracle and/or its affiliates.オブジェクトストレージがパブリックに設定変更された場合の検出(例)Cloud Guard 概要
16OCIのリソースに対するアクセス権を得て、破壊⽬的でそれらリソースを使⽤する試みおよびその可能性を⽰しているアクティビティのパターンを検出します。リスク・スコアが “80” を超えると、Cloud Guardの問題として警告されます。Copyright © 2023, Oracle and/or its affiliates.監視対象となるコンパートメントにおいて、不正操作の疑いがあるユーザーアカウントの⼀覧を表⽰。該当のユーザーアカウントにおける脅威モニタリング状況を「観察」、「影響を受けるリソース」、「エンドポイント」 の観点で表⽰。【観察】ディテクタルールに基づいた操作状況を分析およびスコアリングした結果を表⽰します。【影響を受けるリソース】不 正 操 作 の 疑 い が あ る 関 連リソースの情報が表⽰されます。【エンドポイント】リソースへのアクセス元となるIPアドレスが表⽰されます。脅威モニタリングCloud Guard 概要
Events & Notificationsとの連携Copyright © 2023, Oracle and/or its affiliates.17Cloud Guard 概要AppliestoTargetDetectorRecipeProblemCRITICAL>RuleResponderRecipeCloud Event(Notification)OCI EventsServiceOCIFunctionsNotifications:EmailBare MetalComputeObjectStorageBlock StorageBucketsDatabaseSystemMake bucketprivate
18 Copyright © 2023, Oracle and/or its affiliates.オラクルで事前定義した“構成のディテクタ・ルール”に基づき、リソースの設定状況を調査します。ディテクタ・ルールに該当する設定値がある場合、脆弱な設定状態として検出されます。【監視のメリット】📌 設定内容に問題があるかを調査することで、脆弱な設定が悪⽤される前に修正することができる📌 全ての問題に対して調査することで設定の不備が改善し、セキュリティベースラインが向上へと繋がる脆弱な設定状態として検出された内容は、「問題」に⼀覧表⽰。リスク・レベルなどを参考に対応の優先順位を検討し、検出されている設定内容の問題を調査。上記問題(VCN Securitylist allows traffic torestricted port)の場合、VCNのセキュリティリストに不要なポートが許可されている為、許可する必要があるかを再検討。問題があるVCNセキュリティリストを確認し、許可する必要のないポートを⾒直し、必要に応じてセキュリティリストを修正する。左図の設定は、OCIを試験運⽤する為に全ポートに対してアクセスを許可。この状態は外部から容易に攻撃され易い為、早期対応が必要。設定内容を修正後、当該問題の画⾯に戻り、該当する対応(修正、解決済みとしてマーク、終了)を選択する。監視例①︓ 設定状況を監視Cloud Guard 概要
19 Copyright © 2023, Oracle and/or its affiliates.オラクルで事前定義した“アクティビティのディテクタ・ルール”に基づき、リソースの操作内容を調査します。ディテクタ・ルールに該当する操作が⾏われた場合、問題のある操作として検出されます。【監視のメリット】📌 操作内容が予定されたものであるかを調査することで、不正利⽤への対策および監視強化を⾏うことができる📌 全ての操作内容に対して調査・対応することで、情報漏洩などに繋がるセキュリティインシデントを抑⽌できるディテクタ・ルールに該当するリソースの操作(作成、修正、削除、停⽌、等)が⾏われた場合、問題のある操作として「問題」 に⼀覧表⽰。該当のVCNセキュリティリストが不正に変更されていないかを確認し、必要に応じてセキュリティリストを修正する。不正操作が疑われる場合、ユーザーに関する調査も⾏う。アクセス制御に不備があると不正侵⼊される可能性が⾼くなる為、早期対応が必要。リスク・レベルなどを参考に対応の優先順位を検討し、検出されている設定内容の問題を調査。上記問題(VCN Security List ingress ruleschanged)の場合、VCNのセキュリティリストのイングレスルール(内部への通信)が変更された為、当該操作が予定されたものかを確認。適正な操作であったかを確認し、設定内容を修正後、当該問題の 画⾯に戻り、該当する対応(修正、解決済みとしてマーク、終了)を選択する。監視例②︓ 操作状況を監視Cloud Guard 概要
20オラクルで事前定義した“脅威のディテクタ・ルール”に基づき、OCIのリソースに対して「破壊⽬的での使⽤」 や 「その可能性を⽰しているアクティビティ」などのパターンを分析し、疑わしい振る舞いのユーザーアカウントを検出。Copyright © 2023, Oracle and/or its affiliates.監視対象となるコンパートメントにおいて、不正操作の疑いがあるユーザーアカウントの⼀覧を表⽰。該当のユーザーアカウントにおける脅威モニタリング状況を「観察」、「影響を受けるリソース」、「エンドポイント」 の観点で表⽰。【観察】ディテクタ・ルールに基づいた操作状況を分析およびスコアリングした結果を表⽰します。検出されたユーザーの振る舞いについて確認します。【影響を受けるリソース】不 正 操 作 の 疑 い が あ る 関 連リソースの情報が表⽰されます。予定のないリソースへのアクセスがあるかを確認します。【エンドポイント】リソースへのアクセス元となるIPアドレスが表⽰されます。通常とは異なるIPアドレスからのアクセスであるかを確認します。【監視のメリット】📌 検出されたユーザーが不正利⽤されていないかを調査することで、ユーザーに対する迅速な処置ができる。 【例】︓ ユーザーの“停⽌” または “削除”、等📌 振る舞いを監視することでユーザーアカウントの乗っ取りなどを把握できる監視例③︓ ユーザーアカウントの利⽤状況を監視Cloud Guard 概要
1. Cloud Guard 概要2. Cloud Guard 設定⼿順📌 前提条件と構成📌 Cloud Guardの有効化📌 通知とイベントの作成3. Cloud Guard 検出結果と対応📌 「推奨事項」ページからの対応📌 「問題」ページからの対応📌 「脅威モニタリング」ページからの対応4. Cloud Guard 応⽤編📌 ターゲットの管理📌 ディテクタ・レシピの管理📌 レスポンダ・レシピの管理AgendaCopyright © 2023, Oracle and/or its affiliates.21
前提条件と構成Cloud Guard 設定⼿順Copyright © 2023, Oracle and/or its affiliates.22前提条件︓ü Administratorグループに所属するユーザー(OCI管理者)で実施ü ルート・コンパートメント(全てのリソース)を対象にCloud Guardの設定および監視ü オラクルが提供するディテクタ・レシピおよびレスポンダ・レシピを利⽤ü OCIコンソールの⾔語設定を「⽇本語」に設定参考⽂献︓ https://docs.oracle.com/ja-jp/iaas/cloud-guard/home.htm(⽇本語サイト)Tenancy(Tokyo DC)VCNComputeCompartment(Target)システム構成(例)︓ObjectStorageCloudGuardDatabaseBucketsBlockStorage
参考︓ Cloud Guard⽤のグループ作成およびユーザーの追加Administratorグループに所属しないユーザーがCloud Guardを利⽤する場合、 Cloud Guardを管理する為のグループを作成および管理対象ユーザーを追加します。1. テナンシ管理者としてOracle Cloud Infrastructureコンソールにログインします。2. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「グループ」をクリックします。3. 「グループの作成」をクリックします。4. 必要なフィールドに⼊⼒し、「作成」をクリックします。5. 作成したグループにCloud Guard⽤のユーザーを追加します。参照︓ https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/prerequisites.htmCloud Guard 設定⼿順Copyright © 2023, Oracle and/or its affiliates.23
Cloud Guardを利⽤する為の設定を⾏います。1. 「アイデンティティとセキュリティ」をクリック2. 「クラウド・ガード」をクリック3. 「クラウド・ガードの有効化」をクリックCopyright © 2023, Oracle and/or its affiliates.24Cloud Guardの有効化Cloud Guard 設定⼿順
Cloud Guardの有効化Cloud Guardの全機能を利⽤する為のポリシーを作成します。Cloud Guard 設定⼿順Copyright © 2023, Oracle and/or its affiliates.251. 「ポリシーの作成」をクリック2. CloudGuardPoliciesの名称でポリシーが追加されたことを確認し、「次」をクリック
Cloud Guardに関する基本情報(レポート・リージョン、監視対象コンパートメント、ディテクタ・レシピ)を選択し、有効化を⾏います。1. 検出された結果を管理する「レポート・リージョン」を選択【補⾜説明】︓Cloud Guardを有効化した後にレポート・リージョンの変更はできません。レポート・リージョンを変更する場合、Cloud Guardの無効化が必要になる事をご留意してください。2. ルートコンパートメント(全てのリソース)を監視対象とする為、「全て」を選択該当のコンパートメントを選択する場合、「コンパートメントの選択」より対象コンパートメントを選択Cloud Guardの有効化Cloud Guard 設定⼿順Copyright © 2023, Oracle and/or its affiliates.263. 各ディテクタ・レシピを以下の様に選択【構成】︓ OCI Configuration Detector Recipe(Oracle管理)【アクティビティ】︓ OCI Activity Detector Recipe(Oracle管理)【脅威】︓ OCI Threat Detector Recipe (Oracle管理)4. 「有効化」をクリック
Cloud Guardが有効化された事を確認します。Cloud Guardの有効化Cloud Guard 設定⼿順Copyright © 2023, Oracle and/or its affiliates.27
28 Copyright © 2023, Oracle and/or its affiliates.Cloud Guardが有効化されると、現状のセキュリティリスク(概要、問題などの項⽬)が表⽰されます。【セキュリティ・スコア】過去30⽇間の監視結果を基に、システムの保護状態に関する評価が表⽰されます。セキュリティ・スコアが⾼いほど優れており、100のセキュリティ・スコアはどのリソースに対しても問題が検出されなかったことを意味します。【リスクのスコア】問題の数と重⼤度に関連します。多くのリソースを持つ組織では、多くの問題が検出する可能性が⾼く、リスク・スコアも⾼くなります。多くのリソースがある場合、セキュリティ・スコアが優れていてもリスク・スコアは⾼くなる可能性があります。【セキュリティ推奨】セキュリティとリスクのスコアを改善する為の推奨事項です。Cloud Guardが検出した最も優先度の⾼い問題を迅速に特定して解決します。Cloud Guardの有効化【問題のスナップショット】重⼤度レベル別に問題を表⽰し、ドリルダウンして「問題」ページの各重⼤度レベルから問題のリストを参照します。【問題】コンパートメント、リージョンまたはリソース・タイプ別に問題を表⽰し、ドリルダウンして「問題」ページにリストされた問題名から参照します。【ユーザー・アクティビティの問題】ソースIPアドレスに基づいて、ユーザー・アクティビティの地理的起点を⽰すマップを表⽰します。【レスポンダ・ステータス】Cloud Guardのレスポンダを介して、実⾏された最近の修正を確認します。Cloud Guard 設定⼿順
Cloud Guardは、ベースラインアプローチによるリソースの設定状況や操作内容などについて監査します。セキュリティ要件・基準を明確化し、要件・基準に応じたセキュリティ運⽤を⾏うことでセキュリティレベルの向上を実現します。29 Copyright © 2023, Oracle and/or its affiliates.Cloud Guard 設定⼿順Cloud Guardの有効的な利⽤⽅法設定・操作状況の確認PDCAPlanDoActionCheck監査したいポリシーを選択クラウドセキュリティ要件・基準の定義Cloud Guardの監査ポリシーを設定・実⾏Cloud Guardの監査結果を確認各種リソースの設定値を⾒直しn アカウント管理n ログの監査n データの暗号化n 脆弱性管理(パッチ適⽤)・・クラウドセキュリティ要件・基準OCIドキュメントVCNComputeObjectStorageIAMPolicy
Cloud Guardで検出された問題をOCIの「通知」および「イベント」機能を利⽤して管理者へメール通知します。先ずは、Cloud Guardの「ターゲット」に設定されている「レスポンダ・レシピ」の設定を確認します。※ 管理者へのメール通知が不要な場合、本⼿順はスキップしてください通知とイベントの作成(オプション)Cloud Guard 設定⼿順Copyright © 2023, Oracle and/or its affiliates.30※ 社内検証環境の為、コンパートメント名などは伏せております2. 該当のターゲット名をクリック3. OCI Responder Recipe(Oracle管理)をクリック1. 監視対象コンパートメントを選択
Cloud Eventのステータスが「有効」、且つルール・トリガーが「⾃動的に実装」の設定であることを確認します。設定を変更されている場合は、以下に設定値に合わせてください。Copyright © 2023, Oracle and/or its affiliates.31【補⾜説明】︓デフォルトの状態は以下の通りです。【ステータス】︓ 有効 / 【ルール・トリガー】︓ ⾃動的に実装通知とイベントの作成(オプション)Cloud Guard 設定⼿順1. Cloud Eventより3つの点をクリックして「編集」をクリック※ 社内検証環境の為、コンパートメント名などは伏せております
次に、「通知」よりメールの通知先を設定します。通知とイベントの作成(オプション)Cloud Guard 設定⼿順Copyright © 2023, Oracle and/or its affiliates.321. 「開発者サービス」をクリック2. 「通知」をクリック3. 監視対象コンパートメントを選択4. 「トピックの作成」をクリック※ 社内検証環境の為、コンパートメント名などは伏せております
通知とイベントの作成(オプション)トピックの作成画⾯にて、通知に関する情報を記⼊します。Cloud Guard 設定⼿順Copyright © 2023, Oracle and/or its affiliates.331. 任意の名前と説明を⼊⼒2. 「作成」をクリック
作成したトピックの詳細画⾯より「サブスクリプション」を作成します。通知とイベントの作成(オプション)Cloud Guard 設定⼿順Copyright © 2023, Oracle and/or its affiliates.342. 「サブスクリプションの作成」をクリック3. 電⼦メールを選択4. 通知先の「メールアドレス」を⼊⼒5. 「作成」をクリック1. 監視対象コンパートメントを選択※ 社内検証環境の為、コンパートメント名などは伏せております
作成したサブスクリプションの詳細画⾯を確認します。その後、通知先のメールアドレスに「OCI通知サービスのサブスクリプション」に関する確認メールが届きますので、内容を確認します。Copyright © 2023, Oracle and/or its affiliates.351. 「Pending Confirmation」と表⽰2. 「Confirm subscription」をクリック3. Subscription confirmedのページがブラウザの表⽰通知とイベントの作成(オプション)Cloud Guard 設定⼿順※ 社内検証環境の為、コンパートメント名などは伏せております
「サブスクリプション」が作成されたことを確認します。以上で、通知先のメールアドレスの設定が完了となります。通知とイベントの作成(オプション)Cloud Guard 設定⼿順Copyright © 2023, Oracle and/or its affiliates.362. 通知先のメールアドレスが表⽰1. 監視対象コンパートメントを選択※ 社内検証環境の為、コンパートメント名などは伏せております
最後に、「イベント」よりCloud Guardで検出された問題を通知先のメールアドレスに送信する設定を⾏います。1. 「監視および管理」をクリック2. 「イベント・サービス」をクリック通知とイベントの作成(オプション)Cloud Guard 設定⼿順Copyright © 2023, Oracle and/or its affiliates.373. 監視対象コンパートメントを選択4. 「ルールの作成」をクリック※ 社内検証環境の為、コンパートメント名などは伏せております
ルールの作成画⾯にて、Cloud Guardで検出された問題を通知先のメールアドレスに送信できる様、「ルール条件」と「アクション」を定義します。1. 任意の名前と説明を⼊⼒2. ルール条件で以下を設定【条件】︓ イベントタイプ【サービス名】︓ Cloud Guard【イベント・タイプ】︓ Detected -Problem3. アクションで以下を設定【アクション・タイプ】︓ 通知【通知コンパートメント】︓ 監視対象コンパートメント【トピック】︓ P.35で作成したトピック名通知とイベントの作成(オプション)Cloud Guard 設定⼿順Copyright © 2023, Oracle and/or its affiliates.384. 「ルールの作成」をクリック【補⾜説明】︓Cloud Guardのイベント・タイプは、検出された問題以外もあります。詳しくは、以下のサイトを参照してください。https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/export-notifs-config.htm#export-notifs-events※ 社内検証環境の為、コンパートメント名などは伏せております
「イベントのルール」が作成されたことを確認します。以上で、イベントの設定が完了となります。Cloud Guardで問題を検出すると通知先のメールアドレスにメールが送信されます。Copyright © 2023, Oracle and/or its affiliates.391. 監視対象コンパートメントを選択2. 作成されたルールをクリック2. 「Detected -Problem」のイベントが追加されたことを確認通知とイベントの作成(オプション)Cloud Guard 設定⼿順メールを受信【補⾜説明】︓検出される問題が多い場合、⼤量のメールを受信することになる為、通知とイベントに関しては、運⽤⾯を鑑みて設定することを推奨します。※ 社内検証環境の為、コンパートメント名などは伏せております
1. Cloud Guard 概要2. Cloud Guard 設定⼿順📌 前提条件と構成📌 Cloud Guardの有効化📌 通知とイベントの作成3. Cloud Guard 検出結果と対応📌 「推奨事項」ページからの対応📌 「問題」ページからの対応📌 「脅威モニタリング」ページからの対応4. Cloud Guard 応⽤編📌 ターゲットの管理📌 ディテクタ・レシピの管理📌 レスポンダ・レシピの管理AgendaCopyright © 2023, Oracle and/or its affiliates.40
検出されたセキュリティの問題に対応する為、Cloud Guardではコンポーネントを提供しております。各コンポーネントを⽤いて検出された問題を把握し、効率的に対応することでセキュリティレベルの向上へと繋げます。【推奨事項】ページ︓セキュリティリスクの⾼い上位10件の問題が表⽰されます【問題】ページ︓リスク・レベル問わず、検出された問題が⼀覧表⽰されます【脅威モニタリング】ページ︓ユーザーアカウントによる不正操作の疑いがあるアクティビティについて表⽰されますCloud Guardのトップ画⾯(概要ページ)41 Copyright © 2023, Oracle and/or its affiliates.Cloud Guard 応⽤編検出された問題の⾒⽅
Cloud Guardを初めて利⽤される⽅やどの問題から対応したら良いか分からない場合、「推奨事項」で表⽰される最もクリティカルな問題(上位10件)から対応してください。不正利⽤などに繋がる可能性がある設定内容を効率的に是正することができます。Cloud Guard 検出結果と対応Copyright © 2023, Oracle and/or its affiliates.42「推奨事項」ページからの対応1. 「推奨事項」をクリック2. 監視対象とするコンパートメントを選択3. 該当の推奨事項より3つの点をクリックして「問題の表⽰」をクリック例︓ 「Bucket is public」を選択【補⾜説明】︓該当の問題に関するフィルタが設定された状態で「問題」ページに遷移します。問題に関するフィルタが設定例︓ 問題名= Bucket is public、ターゲット=該当のターゲット名4. 該当の問題名をクリック※ 社内検証環境の為、コンパートメント名などは伏せております
「推奨」に記載されている内容を確認し、該当リソースに対して⼿動で設定値を修正します。以下、「Bucket is public」に関する問題への対応⽅法となります。2. 推奨に記載されている内容を確認【補⾜説明】︓推奨に記載される内容は英語表記となる為、必要に応じて翻訳ツールなどを利⽤してください。1. 該当リソースなどを確認Cloud Guard 検出結果と対応Copyright © 2023, Oracle and/or its affiliates.43「推奨事項」ページからの対応※ 社内検証環境の為、コンパートメント名などは伏せております
「ストレージ」 → 「オブジェクト・ストレージとアーカイブ・ストレージ」より、該当バケットの「可視性」をパブリックからプライベートに変更します。1. 該当コンパートメントを選択2. 該当バケットをクリック3. 「可視性の編集」をクリックCloud Guard 検出結果と対応Copyright © 2023, Oracle and/or its affiliates.44「推奨事項」ページからの対応※ 社内検証環境の為、コンパートメント名などは伏せております
該当バケットの「可視性」をパブリックからプライベートに変更します。1. 「プライベート」を選択2. 「変更の保存」をクリックCloud Guard 検出結果と対応Copyright © 2023, Oracle and/or its affiliates.45「推奨事項」ページからの対応※ 社内検証環境の為、コンパートメント名などは伏せております
該当バケットの「可視性」がプライベートに変更されたことを確認します。1. プライベートに変更されたことを確認2. こちらの画⾯でもプライベートに変更されたことを確認Cloud Guard 検出結果と対応Copyright © 2023, Oracle and/or its affiliates.46「推奨事項」ページからの対応※ 社内検証環境の為、コンパートメント名などは伏せております
設定内容を修正後、P.44の問題画⾯へと戻り、問題に対する該当のアクション(「解決済みとしてマーク」)を選択します。今回は、⼿動で設定値を修正した為、「解決済みとしてマーク」の選択となります。1. 「解決済みとしてマーク」をクリック2. 任意のコメントを⼊⼒3. 「解決済みとしてマーク」をクリックCloud Guard 検出結果と対応Copyright © 2023, Oracle and/or its affiliates.47「推奨事項」ページからの対応※ 社内検証環境の為、コンパートメント名などは伏せております
「Bucket is public」に関する問題が解決されたことを確認します。以上で、問題への対応が完了となります。他の検出されている問題でも同じような流れで対応ください。2. 「問題」をクリック1. 「解決済」に変更されたことを確認Cloud Guard 検出結果と対応Copyright © 2023, Oracle and/or its affiliates.48「推奨事項」ページからの対応4. ステータスで「解決済」を選択5. 該当バケットの問題がリストにあることを確認3. 該当コンパートメントを選択※ 社内検証環境の為、コンパートメント名などは伏せております
Copyright © 2023, Oracle and/or its affiliates.49問題に対するアクションの実⾏は、3つの種類(「修正」、「解決済みとしてマーク」、「終了」)があります。それぞれの特徴およびURLを以下に記載しておりますので、どのアクションを選択するかの参考にしてください。修正「修正」をクリックすることで、Cloud Guardのレスポンダを使⽤してアクションを実⾏します。但し、レスポンダで対応できない問題もあり、その場合は「修正」ボタンがグレーアウトされています。また、将来発⽣する同じ問題に対しても同じレスポンダを実⾏してCloud Guardで⾃動解決します。担当者を介さずにCloud Guardで⾃動解決する為、「ディテクタ・レシピ」および「レスポンダ・レシピ」に関する知⾒のある⽅向けのアクションとなります。解決済みとしてマーク担当者が⼿動で任意のアクションを該当リソースで実⾏します。その後、「解決済みとしてマーク」をクリックして、修正した該当問題を解決済みにします。Cloud Guardに関する知⾒が浅い⽅など向けのアクションとなります。(推奨)終了「終了」をクリックして問題をクローズします。検出された問題の対応を必要としない場合または同じ問題を再度検出する必要がない場合などに選択します。次回以降、同じ問題が検出されなくなる為、セキュリティリスクを鑑みたうえで選択してください。Cloud Guard 検出結果と対応「推奨事項」ページからの対応 〜 問題に対するアクションの注意事項 〜【参照】︓ https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/problems-page.htm※ 社内検証環境の為、コンパートメント名などは伏せております
検出されたセキュリティの問題を⼀覧で把握したうえで、特定の問題に対応したい場合などは「問題」ページへアクセスしてください。ソート・フィルタ機能を活⽤することで検出された問題を精査し、効率的に対応することができます。「問題」ページからの対応 〜 問題を検索する際のソート・フィルタ機能 〜Cloud Guard 検出結果と対応Copyright © 2023, Oracle and/or its affiliates.50【ステータス】検出された問題のステータスを選択します。• オープン︓問題が未処理• 修正︓レスポンダにて修正済• 解決︓⼿動などで修正済• 終了︓処理ぜずにクローズ済• 削除済︓関連ターゲットが削除【リソース・タイプ】検出された問題をリソース・タイプ別に表⽰します。特定リソースの問題を把握・対応する場合などにに利⽤します。【検出された時間】検出された問題を特定の⽇付範囲で表⽰します。デフォルトは最後に検出された過去30⽇間の問題が表⽰されます。【フィルタ】検出された問題をカテゴリ別に表⽰します。「リスク・レベル」や「ディテクタ・タイプ」などで分類し、リスクの⾼い問題を把握・対応する場合などにに利⽤します。【ソート】「リスク・レベル」、「リソース」、「前回の検出」のカラムで、▲▼印をクリックすることでソートされ、簡単に並び替えができます。※ 社内検証環境の為、コンパートメント名などは伏せております
検出されたセキュリティの問題を⼀覧で確認します。必要に応じて、前項で説明したフィルタ機能などを利⽤して問題を精査します。以下、「ディテクタ・タイプ= 構成」でフィルタします。3. 「フィルタ」より「ディテクタ・タイプ= 構成」を選択1. 「問題」をクリック2. 監視対象とするコンパートメントを選択Copyright © 2023, Oracle and/or its affiliates.514. 「ディテクタ・タイプが「構成」に絞り込まれたことを確認「問題」ページからの対応Cloud Guard 検出結果と対応※ 社内検証環境の為、コンパートメント名などは伏せております
また、リスク・レベルの⾼い問題から対応する場合、フィルタ機能に加え「リスク・レベル」でソートします。リスク・レベルの⾼い問題は不正利⽤などに繋がる可能性がある為、早めに問題を把握し、対応することを推奨します。1. 「リスク・レベル」のカラムで、▲▼印をクリックし、レベルの⾼い順に並び替え2. 該当の問題名をクリック「問題」ページからの対応Cloud Guard 検出結果と対応Copyright © 2023, Oracle and/or its affiliates.52※ 社内検証環境の為、コンパートメント名などは伏せております
「推奨」に記載されている内容を確認し、該当リソースに対して⼿動で設定値を修正します。以下、「VCN Security list allows traffic to restricted port」に関する問題への対応⽅法となります。Copyright © 2023, Oracle and/or its affiliates.532. 推奨に記載されている内容を確認 【補⾜説明】︓推奨に記載される内容は英語表記となる為、必要に応じて翻訳ツールなどを利⽤してください。1. 該当リソースなどを確認3. 現在、VCNのセキュリティリストでオープンしているTCP/UCPポート番号を確認「問題」ページからの対応Cloud Guard 検出結果と対応※ 社内検証環境の為、コンパートメント名などは伏せております
「ネットワーキング」 → 「仮想クラウド・ネットワーク」 → 「該当コンパート」 → 「該当VCN」 → 「該当セキュリティ・リスト」で設定されているイングレス・ルールを⾒直します。1. 「イングレス・ルール」をクリック2. 「宛先ポート範囲」を確認Copyright © 2023, Oracle and/or its affiliates.543. 各レシピより3つの点をクリックして「編集」または「削除」をクリック【補⾜説明】︓検出されたポートがこのセキュリティ・リストのイングレス・ルールでオープンする必要があるかを確認し、開く必要がない場合は閉じます。または、ユーザー環境で使⽤しているポートを監査対象外とする場合、構成ディテクタ・レシピを編集することで問題として検出されなくなります。編集⽅法については、P.80 「構成ディテクタ・レシピの編集」を参照してください。「問題」ページからの対応Cloud Guard 検出結果と対応※ 社内検証環境の為、コンパートメント名などは伏せております
イングレス・ルールを修正後、P.54の問題画⾯へと戻り、問題に対する該当のアクション(「解決済みとしてマーク」)を選択します。今回は、イングレス・ルールを編集または削除したと事とし、「解決済みとしてマーク」の選択となります。1. 「解決済みとしてマーク」をクリック2. 任意のコメントを⼊⼒3. 「解決済みとしてマーク」をクリックCloud Guard 検出結果と対応Copyright © 2023, Oracle and/or its affiliates.55「問題」ページからの対応【補⾜説明】︓問題の検出を監視対象外とする場合、「終了」をクリックします。「修正」に関する内容については、P.50 「問題に対するアクションの注意事項」を参照してください。※ 社内検証環境の為、コンパートメント名などは伏せております
「VCN Security list allows traffic to restricted port」に関する問題が解決されたことを確認します。以上で、問題への対応が完了となります。他の検出されている問題でも同じような流れで対応ください。2. 「問題」をクリック4. ステータスで「解決済」を選択1. 「解決済」に変更されたことを確認5. 該当VCNセキュリティ・リストの問題がリストにあることを確認Cloud Guard 検出結果と対応Copyright © 2023, Oracle and/or its affiliates.56「問題」ページからの対応3. 該当コンパートメントを選択※ 社内検証環境の為、コンパートメント名などは伏せております
リソースに対して「破壊⽬的での使⽤」や「その可能性を⽰しているアクティビティ」などのパターンを分析し、ユーザーアクティビティに関するリスク・スコアが表⽰されます。ユーザーアカウントの不正利⽤を調査したい場合などは、「脅威モニタリング」ページへアクセスしてください。「脅威モニタリング」ページからの対応Cloud Guard 検出結果と対応Copyright © 2023, Oracle and/or its affiliates.571. 「脅威モニタリング」をクリック2. ルート・コンパートメントを選択【補⾜説明】︓リスク・スコアは、過去14⽇間の最⾼リスク・スコアに基づいて割り当てられます。また、リスク・スコアが閾値(80)を超えると問題として識別され、「問題」ページに脅威ディテクタ・タイプとして表⽰されます。3. 上部のチャートや「リスクのスコア」を参考に調査するユーザーをクリック表⽰されるチャートの表⽰を選択します。デフォルトでは、過去30⽇間に上位10のリスク・スコアが表⽰されます。リスク・スコアを基に、不正操作の疑いがあるユーザーアカウントを絞り込みます。リスク・スコアが⾼い程、ユーザーアカウントが乗っ取られている可能性がある為、リスク・スコアの⾼いユーザーアカウントから調査することを推奨します。※ 社内検証環境の為、コンパートメント名などは伏せております
該当のユーザーアカウントにおける脅威モニタリング状況を「観察」、「影響を受けるリソース」、「エンドポイント」の観点で表⽰します。各観点での調査より、不正操作の疑いやユーザーアカウントが乗っ取られていないかを確認します。「脅威モニタリング」ページからの対応Cloud Guard 検出結果と対応Copyright © 2023, Oracle and/or its affiliates.58【観察】ディテクタ・ルールに基づいた操作状況を分析およびスコアリングした結果を表⽰します。スコアリングでは攻撃を⽰す可能性と攻撃における深刻度で評価されます。【影響を受けるリソース】不正操作された疑いがある関連リソースの情報が表⽰されます。【エンドポイント】リソースへのアクセス元となるIPアドレスが表⽰されます。※ 社内検証環境の為、コンパートメント名などは伏せております
ディテクタ・ルールに基づいた操作状況を分析およびスコアリング(重⼤度と信頼の評価を他の要因と組み合せて観察スコアを数値化)します。検出されたユーザーアカウントの振る舞いについて確認し、予定されたリソースへの操作内容であるかを調査します。1. 「概要」をクリック2. 疑わしい観察タイプをクリック【補⾜説明】「観察タイプ」および「重⼤度、信頼、観察スコア」を参考に疑わしい操作内容の詳細を確認します。重⼤度および信頼の評価については、以下のサイト内にある「ディテクタ・レシピ・リファレンス - OCI脅威ディテクタ・ルール」を参照してください。https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/detect-recipes.htm「脅威モニタリング」ページからの対応 〜 概要 〜Cloud Guard 検出結果と対応Copyright © 2023, Oracle and/or its affiliates.593. 予定されたリソースへの操作内容であるか確認※ 社内検証環境の為、コンパートメント名などは伏せております
不正操作された疑いがある関連リソースの情報が表⽰されます。予定されていないリソースへのアクセスがあるかを確認し、リソースに対する影響を調査します。「脅威モニタリング」ページからの対応 〜 影響を受けるリソース 〜Cloud Guard 検出結果と対応Copyright © 2023, Oracle and/or its affiliates.601. 「影響を受けるリソース」をクリック2. 予定されていないリソースへのアクセスがあるかを確認【補⾜説明】ネットワークリソースへのアクセスが多い場合などは、アクセス制御の設定が脆弱になっていないか︖などの調査を⾏ってください。※ 社内検証環境の為、コンパートメント名などは伏せております
リソースへのアクセス元となるIPアドレスが表⽰されます。通常とは異なるIPアドレスからのアクセスであるか、どのサービスにアクセスされたかなどを確認し、ユーザーアカウントが乗っ取られていないかを調査します。1. 「エンドポイント」をクリック2. 通常とは異なるIPアドレス(場所)からのアクセスがあるかを確認「脅威モニタリング」ページからの対応 〜 エンドポイント 〜Cloud Guard 検出結果と対応Copyright © 2023, Oracle and/or its affiliates.613. どのサービスにアクセスされたかも合わせて確認【補⾜説明】通常とは異なるIPアドレスがある場合、物理的に移動できる距離からのアクセスであるか︖、異なるIPアドレスを利⽤する必要があるのか︖などの調査を⾏ってください。※ 社内検証環境の為、コンパートメント名などは伏せております
リスク・スコアの閾値(80)を超えるとCloud Guardが問題として識別し、「問題」ページに「Rogue User」として表⽰されます。「脅威モニタリング」で能動的に調査ができていない場合でも「問題」で検出された際は、前項の内容を沿って調査を⾏ってください。【補⾜説明】︓問題への対応⽅法は、P.51 「 「問題」ページからの対応」を参照ください。1. 「問題」をクリック2. 監視対象とするコンパートメントを選択3. 「フィルタ」より「ディテクタ・タイプ= 脅威」を選択「脅威モニタリング」ページからの対応Cloud Guard 検出結果と対応Copyright © 2023, Oracle and/or its affiliates.624. 「Rogue User」をクリック※ 社内検証環境の為、コンパートメント名などは伏せております
1. Cloud Guard 概要2. Cloud Guard 設定⼿順📌 前提条件と構成📌 Cloud Guardの有効化📌 通知とイベントの作成3. Cloud Guard 検出結果と対応📌 「推奨事項」ページからの対応📌 「問題」ページからの対応📌 「脅威モニタリング」ページからの対応4. Cloud Guard 応⽤編📌 ターゲットの管理📌 ディテクタ・レシピの管理📌 レスポンダ・レシピの管理AgendaCopyright © 2023, Oracle and/or its affiliates.63
Ø ターゲットの管理Cloud Guardでの監視対象となるコンパートメント(範囲)を定義したり、監視に利⽤するレシピを変更することができます。ルート・コンパートメント以外にも、特定のコンパートメントのみを監視対象にすることも可能です。また、Security Zonesが設定されたターゲットの詳細も表⽰できます。https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/targets.htmØ ディテクタ・レシピの管理ディテクタ・レシピの表⽰、クローニングおよび変更することができます。ディテクタ・レシピで定義されているディテクタ・ルールに従って、リソースの構成またはアクティビティに関する潜在的なセキュリティの問題を識別します。https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/detect-recipes.htmØ レスポンダ・レシピの管理レスポンダ・レシピの表⽰、クローニングおよび変更することができます。レスポンダ・レシピは、Cloud Guardで問題が検出された際にCloud Guardで実⾏するアクションを定義します。https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/respond-recipes.htm64 Copyright © 2023, Oracle and/or its affiliates.Cloud Guard 応⽤編
監視対象となるコンパートメント(範囲)を定義します。ルート・コンパートメント以外にも、特定のコンパートメントに対して監視対象を構成することが可能です。1. 「ターゲット」をクリック2. 監視対象とするコンパートメントを選択3. 「新規ターゲットの作成」をクリックターゲットの管理Cloud Guard 応⽤編Copyright © 2023, Oracle and/or its affiliates.65※ 社内検証環境の為、コンパートメント名などは伏せております
監視対象となるコンパートメントおよび問題の検出・対応する為の各種レシピを設定します。1. 任意の名前と説明を⼊⼒2. 監視対象とするコンパートメントを選択4. 「作成」をクリック3. 各レシピより任意のディテクタ・レシピ、レスポンダ・レシピを選択【補⾜説明】︓レシピの選択では、「Oracle管理のレシピ」または「任意のレシピ」より選択します。「任意のレシピ」の作成⽅法は、P.75 「ディテクタ・レシピの管理」および P.84 「レスポンダ・レシピの管理」を参照してください。ターゲットの管理Cloud Guard 応⽤編Copyright © 2023, Oracle and/or its affiliates.66※ 社内検証環境の為、コンパートメント名などは伏せております
設定したターゲットの詳細が表⽰され、監視対象のコンパートメントにターゲットが作成されたことを確認します。1. 「ターゲット」をクリック2. 監視対象のコンパートメントを選択3. ターゲットが作成されたことを確認ターゲットの管理Cloud Guard 応⽤編Copyright © 2023, Oracle and/or its affiliates.67※ 社内検証環境の為、コンパートメント名などは伏せております
また、ターゲットでは、ターゲットに設定されている既存レシピの変更が可能です。現在、設定されているレシピから新たなレシピに変更したい場合などに必要となる⼿順です。 先ずは、設定されている「ディテクタ・レシピ」を削除します。例︓ 「Oracle管理のレシピ」から「任意のレシピ」に変更1. 「ターゲット」をクリック2. 監視対象のコンパートメントを選択3. 該当の「ターゲット」をクリック5. 各レシピより3つの点をクリックして「削除」をクリック4. 「ディテクタ・レシピ」をクリックターゲットの管理 〜 レシピの変更 〜Cloud Guard 応⽤編Copyright © 2023, Oracle and/or its affiliates.68※ 社内検証環境の為、コンパートメント名などは伏せております
次に、設定されている「レスポンダ・レシピ」を削除します。例︓ 「Oracle管理のレシピ」から「任意のレシピ」に変更1. 「ターゲット」をクリック2. 監視対象のコンパートメントを選択3. 該当の「ターゲット」をクリックターゲットの管理 〜 レシピの変更 〜Cloud Guard 応⽤編Copyright © 2023, Oracle and/or its affiliates.695. レシピより3つの点をクリックして「削除」をクリック4. 「レスポンダ・レシピ」をクリック※ 社内検証環境の為、コンパートメント名などは伏せております
ターゲットに設定されていた「ディテクタ・レシピ」 と 「レスポンダ・レシピ」が削除されたことを確認します。ターゲットの管理 〜 レシピの変更 〜Cloud Guard 応⽤編Copyright © 2023, Oracle and/or its affiliates.703. 「レスポンダ・レシピ」をクリック1. 「ディテクタ・レシピ」をクリック2. 各ディテクタ・レシピが削除されたことを確認 4. レスポンダ・レシピが削除されたことを確認※ 社内検証環境の為、コンパートメント名などは伏せております
「ディテクタ・レシピ」 と 「レスポンダ・レシピ」が削除されたことで、新たなレシピを設定することが可能になります。先ずは、「ディテクタ・レシピ」を追加します。1. 「ディテクタ・レシピ」をクリック2. 「レシピの追加」をクリック3. 各レシピより任意のディテクタ・レシピを選択ターゲットの管理 〜 レシピの変更 〜Cloud Guard 応⽤編Copyright © 2023, Oracle and/or its affiliates.714. 「レシピの追加」をクリック※ 社内検証環境の為、コンパートメント名などは伏せております
次に、「レスポンダ・レシピ」を追加します。1. 「レスポンダ・レシピ」をクリック2. 「レシピの追加」をクリック3. 任意のレスポンダ・レシピを選択4. 「レシピの追加」をクリックターゲットの管理 〜 レシピの変更 〜Cloud Guard 応⽤編Copyright © 2023, Oracle and/or its affiliates.72※ 社内検証環境の為、コンパートメント名などは伏せております
新たに設定した「ディテクタ・レシピ」 と 「レスポンダ・レシピ」がターゲットに追加され、「Oracle管理のレシピ」から「任意のレシピ」に変更されたことを確認します。レシピの修正⽅法については、P.75 「ディテクタ・レシピの管理」 および P.84 「レスポンダ・レシピの管理」を参照してください。3. 「レスポンダ・レシピ」をクリック1. 「ディテクタ・レシピ」をクリック2. 各ディテクタ・レシピが追加されたことを確認4. レスポンダ・レシピが追加されたことを確認ターゲットの管理 〜 レシピの変更 〜Cloud Guard 応⽤編Copyright © 2023, Oracle and/or its affiliates.73※ 社内検証環境の為、コンパートメント名などは伏せております
Oracle管理のディテクタ・レシピでは、個々のディテクタ・ルールに対して、ステータスの変更(有効/無効)などが出来ません。個々のディテクタ・ルールに対して、ステータスの変更(有効/無効)を⾏いたい場合、Oracle管理のレシピが保管されているルート・コンパートメントより既存レシピのクローンを作成して、任意のディテクタ・レシピにて管理する必要があります。1. 「ディテクタ・レシピ」をクリック2. Oracle管理のレシピが保管されているルート・コンパートメントを選択74 Copyright © 2023, Oracle and/or its affiliates.Cloud Guard 応⽤編ディテクタ・レシピの管理3. 「クローン」をクリック※ 社内検証環境の為、コンパートメント名などは伏せております4. 次ページ以降で、各ディテクタ・レシピのクローンを作成
リソースの構成に関するディテクタ・レシピ(OCI Activity Detector Recipe(Oracle管理))のクローンを作成します。1. クローン元となるOCI Configuration DetectorRecipe(Oracle管理)を選択2. 任意の名前と説明を⼊⼒3. クローンの保存先となる任意のコンパートメントを選択4. 「クローン」をクリック 【補⾜説明】︓クローンの保存先ついては、運⽤・管理⾯を考慮してターゲットと同じコンパートメントで管理されることを推奨します。75 Copyright © 2023, Oracle and/or its affiliates.Cloud Guard 応⽤編ディテクタ・レシピの管理※ 社内検証環境の為、コンパートメント名などは伏せております
リソースのアクティビティに関するディテクタ・レシピ(OCI Configuration Detector Recipe(Oracle管理))のクローンを作成します。1. クローン元となるOCI Activity Detector Recipe(Oracle管理)を選択2. 任意の名前と説明を⼊⼒3. クローンの保存先となる任意のコンパートメントを選択4. 「クローン」をクリック 【補⾜説明】︓クローンの保存先ついては、運⽤・管理⾯を考慮してターゲットと同じコンパートメントで管理されることを推奨します。76 Copyright © 2023, Oracle and/or its affiliates.Cloud Guard 応⽤編ディテクタ・レシピの管理※ 社内検証環境の為、コンパートメント名などは伏せております
リソースの脅威に関するディテクタ・レシピ(OCI Threat Detector Recipe(Oracle管理))のクローンを作成します。1. クローン元となるOCI Threat Detector Recipe(Oracle管理)を選択2. 任意の名前と説明を⼊⼒3. クローンの保存先となる任意のコンパートメントを選択4. 「クローン」をクリック 【補⾜説明】︓クローンの保存先ついては、運⽤・管理⾯を考慮してターゲットと同じコンパートメントで管理されることを推奨します。77 Copyright © 2023, Oracle and/or its affiliates.Cloud Guard 応⽤編ディテクタ・レシピの管理※ 社内検証環境の為、コンパートメント名などは伏せております
クローンの保存先となったコンパートメントに「構成、アクティビティ、脅威のディテクタ・レシピ(クローン)」が作成されたことを確認します。3. 構成/アクティビティ/脅威ディテクタ・レシピのクローンが作成されたことを確認ディテクタ・レシピの管理Cloud Guard 応⽤編Copyright © 2023, Oracle and/or its affiliates.782. クローンの保存先となる任意のコンパートメントを選択1. 「ディテクタ・レシピ」をクリック※ 社内検証環境の為、コンパートメント名などは伏せております【補⾜説明】︓クローンされたディテクタ・レシピは、「Oracle管理」欄が「いいえ」で表⽰されます。
任意のディテクタ・レシピを⽤いて、ディテクタ・ルールに対する“ステータス(有効/無効)” や “リスク・レベル”などの変更が⾏えます。オラクルで事前定義した設定値を編集したい場合などの参考にしてください。以下、リソースの構成に関するディテクタ・レシピの修正⽅法となります。4. 設定変更したいディテクタ・ルールより3つの点をクリックして「編集」をクリック1. 「ディテクタ・レシピ」をクリック79 Copyright © 2023, Oracle and/or its affiliates.Cloud Guard 応⽤編ディテクタ・レシピの管理 〜 構成ディテクタ・レシピの編集 〜2. クローンで作成された任意のレシピが保管されているコンパートメントを選択3. 「構成」のディテクタ・レシピをクリック※ 社内検証環境の為、コンパートメント名などは伏せております
以下、「VCN Security list allows traffic to restricted port」のディテクタ・ルールを基に例⽰します。当該ディテクタ・ルールを「有効/無効」、リスク・レベルを「クリティカル、⾼、中、低」に変更する場合、以下の設定となります。ディテクタ・レシピの管理 〜 構成ディテクタ・レシピの編集 〜Cloud Guard 応⽤編Copyright © 2023, Oracle and/or its affiliates.801. ディテクタ・ルールを有効または無効に変更したい場合「ステータス」より選択2. リスク・レベルを変更したい場合、「リスク・レベル」より選択【リスク・レベル】︓ クリティカル、⾼、中、低
更に、「VCN Security list allows traffic to restricted port」のディテクタ・ルールでは、ポート制限に関する変更もできます。ユーザー環境で使⽤しているポートを監査対象外とする場合、「Restricted Protocol:Ports List」のポート番号を変更します。「アクティブディテクタ・レシピ」および「脅威ディテクタ・レシピ」においても同様の⼿順でディテクタ・ルールの編集が可能です。ディテクタ・レシピの管理 〜 構成ディテクタ・レシピの編集 〜Cloud Guard 応⽤編Copyright © 2023, Oracle and/or its affiliates.811. ポート制限を変更したい場合、⼊⼒設定の「RestrictedProtocol:Ports List 」よりポート番号を変更【補⾜説明】︓ディテクタ・ルールによっては、「⼊⼒設定」の画⾯がないものあります。「⼊⼒設定」のあるディテクタ・ルールは、「構成済みの設定」欄に「はい/いいえ」が設定されています。
ディテクタ・レシピの編集には、「ディテクタ・レシピ」メニューから編集 と 「ターゲット」メニュー内のディテクタ・レシピから編集の2つの⽅法があります。それぞれで編集できる内容が異なりますので、ご注意ください。「ディテクタ・レシピ」メニューから編集 「タッゲート」メニュー内のディテクタ・レシピから編集こちらのディテクタ・レシピでは、「ステータスの変更」、「リスク・レベルの変更」「⼊⼒設定」の変更を⾏うことは出来ません。グレーアウトされて表⽰「ステータスの変更」、「リスク・レベルの変更」、「⼊⼒設定」の変更したい場合こちらのディテクタ・レシピから編集。ディテクタ・レシピの管理 〜 ディテクタ・レシピの編集における注意事項 〜Cloud Guard 応⽤編Copyright © 2023, Oracle and/or its affiliates.82
Oracle管理のレスポンダ・レシピでは、個々のレスポンダ・ルールに対して、ステータスの変更(有効/無効)が出来ません。個々のレスポンダ・ルールに対して、ステータスの変更(有効/無効)などを⾏いたい場合、Oracle管理のレシピが保管されているルート・コンパートメントより既存レシピのクローンを作成して、任意のレスポンダ・レシピにて管理する必要があります。1. 「レスポンダ・レシピ」をクリック2. Oracle管理のレシピが保管されているルート・コンパートメントを選択3. 「クローン」をクリック83 Copyright © 2023, Oracle and/or its affiliates.Cloud Guard 応⽤編レスポンダ・レシピの管理※ 社内検証環境の為、コンパートメント名などは伏せております
Cloud Guardで問題を検出した際の対応に関するレスポンダ・レシピ(OCI Responder Recipe(Oracle管理))のクローンを作成します。1. クローン元となるOCI Responder Recipe(Oracle管理)を選択2. 任意の名前と説明を⼊⼒3. クローンの保存先となる任意のコンパートメントを選択4. 「クローン」をクリック 【補⾜説明】︓クローンの保存先ついては、運⽤・管理⾯を考慮してターゲットと同じコンパートメントで管理されることを推奨します。84 Copyright © 2023, Oracle and/or its affiliates.Cloud Guard 応⽤編レスポンダ・レシピの管理※ 社内検証環境の為、コンパートメント名などは伏せております
クローンの保存先となったコンパートメントに「レスポンダ・レシピ(クローン)」が作成されたことを確認します。3. レスポンダ・レシピのクローンが作成されたことを確認2. クローンの保存先となる任意のコンパートメントを選択1. 「ディテクタ・レシピ」をクリックレスポンダ・レシピの管理Cloud Guard 応⽤編Copyright © 2023, Oracle and/or its affiliates.85※ 社内検証環境の為、コンパートメント名などは伏せておりますクローンされたレスポンダ・レシピは、「Oracle管理」欄が「いいえ」で表⽰されます。
任意のレスポンダ・レシピを⽤いて、レスポンダ・ルールに対するステータス(有効/無効)などの変更が⾏えます。オラクルで事前定義した設定値を編集したい場合などの参考にしてください。以下、「Make Bucket Private」のレスポンダ・ルールの修正⽅法となります。4. 設定変更したいディテクタ・ルールより3つの点をクリックして「編集」をクリック1. 「レスポンダ・レシピ」をクリック2. クローンで作成された任意のレシピが保管されているコンパートメントを選択3. 該当のレスポンダ・レシピをクリック86 Copyright © 2023, Oracle and/or its affiliates.Cloud Guard 応⽤編レスポンダ・レシピの管理 〜 レスポンダ・レシピの編集 〜※ 社内検証環境の為、コンパートメント名などは伏せております
「Make Bucket Private」のレスポンダ・ルールのステータスを変更(有効/無効)する場合、以下の設定となります。87 Copyright © 2023, Oracle and/or its affiliates.Cloud Guard 応⽤編レスポンダ・レシピの管理 〜 レスポンダ・レシピの編集 〜※ 社内検証環境の為、コンパートメント名などは伏せております1. レスポンダ・ルールを有効または無効に変更したい場合「ステータス」より選択
また、レスポンダ・ルールでは、Cloud Guardで問題を検出した際、問題を⾃動修復することもできます。問題を⾃動修復する為の設定は、「ターゲット」メニュー内にあるレスポンダ・レシピより編集します。2. クローンの保存先となる任意のコンパートメントを選択1. 「ターゲット」をクリック 3. 編集したいレスポンダ・レシピが管理されているターゲットをクリック88 Copyright © 2023, Oracle and/or its affiliates.Cloud Guard 応⽤編レスポンダ・レシピの管理 〜 レスポンダ・レシピの編集 〜※ 社内検証環境の為、コンパートメント名などは伏せております4. 「レスポンダ・レシピ」をクリック
該当のレスポンダ・レシピより、「Make Bucket Private」のレスポンダ・ルールを編集します。1. 該当のレスポンダ・レシピをクリック89 Copyright © 2023, Oracle and/or its affiliates.Cloud Guard 応⽤編レスポンダ・レシピの管理 〜 レスポンダ・レシピの編集 〜※ 社内検証環境の為、コンパートメント名などは伏せております2. 設定変更したいディテクタ・ルールより3つの点をクリックして「編集」をクリック
Cloud Guardが問題を⾃動修復できる様に「必要なポリシー・ステートメント」および「設定」の項⽬を編集します。以下の内容を設定することで、 パブリック・バケットが検出された場合、⾃動的にプライベート・ベケットへの設定変更を⾏います。1. 「ステートメントの追加」をクリック【補⾜説明】︓Cloud Guardが⾃動修復する際、該当リソースに対する設定変更を⾏います。その為、ポリシーステートメントに表⽰さているポリシーの追加が必要となります。2. 「⾃動的に実⾏」を選択「⾃動的な実⾏の確認」にチェック90 Copyright © 2023, Oracle and/or its affiliates.Cloud Guard 応⽤編レスポンダ・レシピの管理 〜 レスポンダ・レシピの編集 〜※ 社内検証環境の為、コンパートメント名などは伏せております
⾃動修復のレスポンダ・ルールは、#2〜10が対象となります。レスポンダ・ルールがどのディテクタ・ルールには対応するかは、ディテクタ・ルールの説明内に「関連付けられたレスポンダ」が表⽰され、且つ関連するレスポンダ・ルール名も表⽰されます。⾃動修復の設定を⾏う際は、どのディテクタ・ルールで対応するのかを事前に確認ください。# レスポンダ・ルール レスポンダ・ルール(翻訳版)1 Cloud Event クラウドイベント2 Delete IAM Policy IAMポリシーを削除する3 Delete Internet Gateway インターネットゲートウェイを削除する4 Delete Public IP(s) パブリックIPを削除します5 Disable IAM User IAMユーザーを無効にする6 Enable DB Backup DBバックアップを有効にする7 Make Bucket Private バケットをプライベートにする8 Rotate Vault Key ボールトキーをローテーション9 Stop Compute Instance コンピューティングインスタンスの停⽌10 Terminate Compute Instance コンピューティングインスタンスを終了します91 Copyright © 2023, Oracle and/or its affiliates.Cloud Guard 応⽤編レスポンダ・レシピの管理 〜 レスポンダ・レシピの編集における注意事項 〜※ 社内検証環境の為、コンパートメント名などは伏せております「Bucket is public」のディテクタ・レシピ「User does not have MFA enabled」のディテクタ・レシピ【⾃動修復の対象】「Make Bucket Private」が関連付けられている【⾃動修復の対象外】「関連付けられたレスポンダ」の表記がない
レスポンダ・レシピの編集には、「レスポンダ・レシピ」メニューから編集 と 「ターゲット」メニュー内のレスポンダ・レシピから編集する2つの⽅法があります。それぞれで編集できる内容が異なりますので、ご注意ください。「レスポンダ・レシピ」メニューから編集 「タッゲート」メニュー内のレスポンダ・レシピから編集「ポリシー・ステートメント」や「ルール・トリガー」を設定する場合「ステータス」を変更する場合92 Copyright © 2023, Oracle and/or its affiliates.Cloud Guard 応⽤編レスポンダ・レシピの管理 〜 レスポンダ・レシピの編集における注意事項 〜