Cloud Guard 概要

Transcript

1. Cloud Guard 概要 Ver. 3.0 日本オラクル株式会社 2025年8月

2. 目次 1 2 3 4 Oracle Cloud Guard（p3） Oracle Cloud

   Guard Instance Security（p10） ディテクタ/レスポンダ（p16） Oracle Cloud Guard 監視例（p26） Copyright © 2025, Oracle and/or its affiliates 2

3. Oracle Cloud Guard 📌 Cloud Guard概要（p4） 📌 動作フローとコンポーネント（p7） 📌 検出した問題に対するライフサイクル（p8）

   📌 価格（p9）

4. Cloud Guard Oracle Cloud Infrastructureの様々なサービスの設定や アクティビティを継続的に監視し、即座に通知・アクションを実行することで、 安全なクラウドの利用を促進 認証やネットワーク、ストレージ等の脆弱な設定を自動的に検出 検出ルールはOracle管理で提供され、ユーザーがメンテナンスする 必要なし

   疑わしいIPアドレスからの接続やセキュリティポリシーの変更と いったリスクの高いユーザー・アクティビティも常時監視 問題を是正するための具体的なアクションを自動実行 検出された問題はリスクレベルで評価し、テナント全体を スコアリング 基本機能として無償 4 Copyright © 2025, Oracle and/or its affiliates クラウドの設定ミスによる情報漏洩を防止 問題の検知 アクション実行 リスク評価 Cloud Guard Host Scanning Networking, Load Balancer Compute, Storages Databases Vault IAM

5. Cloud Guard 5 Copyright © 2025, Oracle and/or its affiliates

   検知結果のイメージ Cloud Guardダッシュボード 検出された問題 クリティカルな問題への推奨事項

6. Cloud Guard OCIのリソースに対するアクセス権を得て、破壊目的でそれらリソースを使用する試みおよびその可能性を示しているアクティビティのパター ンを検出 リスク・スコアが “80” を超えると、Cloud Guardの問題として警告 6 Copyright

   © 2025, Oracle and/or its affiliates 脅威モニタリング 【観察】 ディテクタ・ルールに基づいた 操作状況を分析およびスコアリン グした結果を表示 【影響を受けるリソース】 不正操作の疑いがある 関連リソースの情報が表示 【エンドポイント】 リソースへのアクセス元となる IPアドレスが表示

7. Cloud Guard 7 Copyright © 2025, Oracle and/or its affiliates

   動作フローとコンポーネント 脆弱性を検出するディテクタは 構成、アクティビティ、脅威の ３タイプで構成 それぞれのレシピと呼ばれる ポリシーに基づきチェック レシピはOracleにより メンテナンスされる Stop Instance Suspend User Disable Bucket レスポンダは検出された問題に 対しての自動対応 ユーザーへの通知や、 対応する是正処理を自動実行 し、問題の自己解決を行う ターゲットはCloud Guardが 監視対象にするコンパートメント 指定したコンパートメント下の サブコンパートメントも対象 root指定時は、 コンパートメント全てが対象に リソースの設定に不備や 疑わしいアクセスが発生した場合、 問題として検出し、レシピ内容に 応じたリスクレベルに分類 Configuration Activity Threat ターゲット （Targets） ディテクタ （Detectors） 問題 （Problems） レスポンダ （Responders）

8. Cloud Guard 検出した問題は、以下の方法より対応 【修正】： Cloud Guardのレスポンダを使用して対応 【解決済みとしてマーク】： 担当者が手動で対応 【終了】： 終了済みとして問題をクローズ

   ※ 意図的に設定している場合 問題を再度検出した場合： 未解決の問題は、問題の履歴が更新 以前に「解決済みとしてマーク」した問題は、 問題として再度オープンされ、履歴が更新 以前に「終了」した問題は、問題として再オープンされずに 履歴が更新 問題への対応はセキュリティスコアに反映 8 Copyright © 2025, Oracle and/or its affiliates 検出した問題に対するライフサイクル 検出 (Finding) オープン (Open) 解決済 (Resolved) 終了 (Dismissed) 「終了」された問題が 検出にて更新 「解決済」の問題が 検出により再オープン 新規に 検出 「終了」としてマーク 解決済としてマーク or レスポンダによって修正

9. Cloud Guard 9 Copyright © 2025, Oracle and/or its affiliates

   価格 SKU PAYG（Pay As You Go rate） Oracle Cloud Guard ¥ 0 Oracle Cloud Guard - Threat Detector - OCI Audit Logs ¥ 0 *2025年7月1日時点

10. Oracle Cloud Guard Instance Security 📌 Instance Security 概要（p11） 📌

    Ad hoc Queries（p13） 📌 価格（p15）

11. Cloud Guard Instance Security コンピュート・インスタンスやオンプレミス・サーバ内のワークロードを監視し 保護するCSPM(Cloud Security Posture Management) エージェントが定期的にOS内をスキャン

    - パッケージの脆弱性、オープンポートなどのセキュリティ情報を収集 - OS内の疑わしいプロセスや常駐サービスの監視 - 過剰なログイン失敗や脆弱な設定等のアクテビティを検出 対象OS: Linux, Debian, Windows eBPFによるカーネルレベルでのセキュリティ・イベントを検出 MITRE攻撃フレームワークに準拠したリスク分類 Cloud Guardと連携したOracleマネージドの検出ルール SQLライクのクエリでOSを監視できるosqueryのサポート 用途に応じて選択可能 - Standard (無償) : パッケージの脆弱性、オープンポートの2種類のみ - Enterprise (有償) : 上記に加え、プロセスやサービスなどのアクティビティの監視・保護を含む 11 Copyright © 2025, Oracle and/or its affiliates Cloud Guardと連携するワークロード・プロテクション Windows Cloud Guard Linux Instance Security Instance Security ディテクタ・ルール Instance Security Problem Problem OCI On-Premise

12. Cloud Guard Instance Security 12 Copyright © 2025, Oracle and/or

    its affiliates インスタンス・セキュリティ・ディテクタ・ルール # ディテクタ・ルール 説明 リスク Win Linux 1 スキャンされたホストに脆弱性があります OS、ライブラリ、アプリケーション等の既知のセキュリティ脆弱性 クリティカル × 〇 2 オープン・ポートでリスニングしているプロセス ネットワーク接続をリスニングしているプロセス クリティカル 〇 〇 3 一時フォルダから作成された疑わしいスケジュール済タスク マルウェアがバックドアを日常的に実行する一般的なメカニズムに対するチェック 高 〇 × 4 一時フォルダから実行されている疑わしいサービス 一時フォルダから実行される疑わしいスケジュール済みタスク 高 〇 × 5 一時フォルダからのプロセスが横移動アクティビティを実行しようとしています 一時フォルダからユーザーやネットワーク情報を監視するプロセスをチェック 高 〇 × 6 過度に失敗したアカウント・ログイン パスワード・スプレーなどの過度なログイン失敗 高 〇 × 7 WMICによる不審なプロセス開始の検出 WMICを利用したスクリプト起動やペイロードのダウンロード等のプロセス 高 〇 × 8 不正なパスによる正当なWindowsプロセスとしてのマスカレード処理 Windowsプロセスになりすました不正なプロセス 高 〇 × 9 Windowsセキュリティ・ルールの無効化 Windowsセキュリティ機能 (windefend)の無効化 高 〇 × 10 リスニング・モードのPuttyプロセス SSHトンネルを作成するためのリスニング・モードのPutty 高 〇 × 11 リスニング・モードのSSHプロセス リスニング・モードのPuttyから、LinuxのSSHトンネルの作成 高 × 〇 12 エージェントがインストールされていないか、期待どおりに実行されていません Cloud Agentが正常に動作していない 高 〇 〇 13 システムプロセス上で可能な逆シェル システム・プロセスで可能なリバース・シェル 高 × 〇 14 ホーム・プロファイルで実行中の不審なcronジョブ マルウェアは、定期的なスケジュール実行のcronジョブを使用してバックドアを準備 中 × 〇 15 疑わしい起動項目が検出されました マルウェアは、再起動時に再度バックドアを実行する起動を使用 中 〇 × 16 Webサーバー・パスが不足している可能性のあるオープンWebシェル・ソ ケット 外部サーバと不正なリモート制御に使用されるWebシェル 中 〇 ×

13. Cloud Guard Instance Security SQLライクなクエリ osquery でOS情報をインタラクティブに検索 - SELECT カラム名

    FROM テーブル名 WHEREやJOIN、関数などの複雑な条件を可能にするSQL問い合わせ プロセス, ディスク, デバイス等の200を超える表定義 単体だけでなく、すべてのインスタンスを対象にした横断的なクエリー実行 クエリをお気に入りとして登録し、いつでも再実行 クエリ結果をCSVファイルとしてダウンロード可能 定期的にスケジュール実行し、結果はLoggingサービスに格納 - 頻度 (4h, 6h, 12h,毎日,毎週) OCI CLI, REST APIでのクエリ実行も可能 - oci cloud-guard adhoc-query get - oci cloud-guard adhoc-query-result-collection get-adhoc-query-result-content 13 Copyright © 2025, Oracle and/or its affiliates Ad hoc Queries Host Instance Security Cloud Guard

14. Instance Security Ad hoc Queries 14 Copyright © 2025, Oracle

    and/or its affiliates osquery による問合せの例 問い合わせ内容 SQL フィジカル・システム情報 SELECT hostname, cpu_brand, cpu_physical_cores, cpu_logical_cores, physical_memory FROM system_info; ハードウェア変更イベント情報 SELECT * FROM hardware_events; プロセス一覧 SELECT * FROM processes; 特定パーティションの空きスペース SELECT path, ROUND( (10e-10 * blocks_available * blocks_size), 1) AS gb_free, 100 - ROUND ((blocks_available * 1.0 / blocks * 1.0) * 100, 1) AS percent_used, device, type FROM mounts WHERE path = '/'; 疑わしいプロセスを検出 (バイナリがディスクから削除済み) SELECT name, path, pid FROM processes WHERE on_disk = 0; 直近1時間のrootログインを確認 SELECT * FROM last WHERE username = "root" AND time > (( SELECT unix_time FROM time ) - 3600 ); 主要なディスクの暗号化を確認 SELECT * FROM mounts m, disk_encryption d WHERE m.device_alias = d.name AND m.path = "/"AND d.encrypted = 0; CPUを最も使用しているプロセスのTop5 SELECT pid, uid, name, ROUND(((user_time + system_time) / (cpu_time.tsb - cpu_time.itsb)) * 100, 2) AS percentage FROM processes, (SELECT (SUM(user) + SUM(nice) + SUM(system) + SUM(idle) * 1.0) AS tsb,SUM(COALESCE(idle, 0)) + SUM(COALESCE(iowait, 0)) AS itsb FROM cpu_time) AS cpu_time ORDER BY user_time+system_time DESC LIMIT 5; メモリを最も使用しているプロセスのTop10 SELECT pid, name, resident_size from processes order by resident_size desc limit 10;

15. Cloud Guard Instance Security Recipe Type に応じた価格体系 • Standard：パッケージの脆弱性、オープンポートの2種類のみ -

    インスタンス数: 1リージョンあたり5インスタンスまで - オンデマンド問い合わせ: 1リージョンあたり月30回、スケジュール問い合わせ: なし • Enterprise：上記 Standard に加え、プロセスやサービスなどのアクティビティの監視・保護を含む - インスタンス数: 無制限 - オンデマンド問い合わせ: 無制限、スケジュール問い合わせ: 1日あたり25クエリ 15 Copyright © 2025, Oracle and/or its affiliates 価格 SKU PAYG（Pay As You Go rate） Oracle Cloud Guard Instance Security Standard ¥ 0 Oracle Cloud Guard Instance Security Enterprise ¥ 1.07 / Node Per Hour Oracle Cloud Guard Instance Security Ad hoc Queries Enterprise (First 950,000 Requests) ¥ 0 Oracle Cloud Guard Instance Security Ad hoc Queries Enterprise (Greater than 950,000 Requests) ¥ 0.155 /Request *2025年8月1日時点

16. ディテクタ / レスポンダ 📌 ディテクタ概要（p17） 📌 レスポンダ概要（p23） 📌 ルールのクローン（p25）

17. Compute Cloud Guard Detectors ディテクタ ディテクタは事前定義された検出ルールを基に監査ログおよび各リソースの設定状況を監視し、問題点を検出 検出ルールを定義したルールセット（ディテクタ・レシピ）は次の４種類 構成ディテクタ・レシピ : オブジェクトストレージやVCNなどのOCIの各サービス設定に関する検出ルール

    アクテイビティ・ディテクタ・レシピ : VCNのセキュリティルール変更やユーザーのグループ追加などのリソース操作に関する検出ルール 脅威ディテクタ・レシピ : 不正操作の疑いがあるユーザーアカウントに関する検出ルール インスタンス・セキュリティ・ディテクタ・レシピ : コンピュートホストでの不審な振る舞いの検知ルール（p11） 事前定義されたディテクタ・レシピを基に監査ログおよび各リソースの設定状況を監視し、問題点を検出 Oracleマネージドとして提供され、ルールの新規追加やアップデートは適宜実施 17 Copyright © 2025, Oracle and/or its affiliates ディテクタ概要 Compute, Object Storage, Networking等の構成 操作状況を監視 インスタンス・セキュリティ・ディテクタ・レシピ オープンポートや脆弱性を報告 監査ログ 脅威ディテクタ・レシピ 構成ディテクタ・レシピ アクティビティ・ディテクタ・レシピ 設定状況を監視

18. ディテクタ OCIリソース設定とユーザーのアクティビティを監視・評価し、セキュリティベストプラクティスから逸脱していないかを検出 CIS Benchmark、Oracleベストプラクティスに基づいた90種類以上の事前定義ルールでOCI全体を広範にカバー パブリック公開、過剰な権限、非推奨設定などを検知 対象リソース • IAM • Networking

    • Compute • Database • Storage…など 18 Copyright © 2025, Oracle and/or its affiliates 構成ディテクタ / アクティビティ・ディテクタ 【検出例】 • パブリックアクセス設定（Object Storageやインスタンスの公開など） • IAMポリシーにおける過剰な権限割当 • 長期間使用されているクレデンシャル • 未適用のDatabaseシステム・パッチ • IAMユーザーの作成・削除操作 • Computeインスタンスの削除操作

19. ディテクタ 19 Copyright © 2025, Oracle and/or its affiliates 構成ディテクタ・ルール（一部）

    # ディテクタ・ルール ディテクタ・ルール（翻訳版） リスク 1 Instance is publicly accessible インスタンスは一般公開されています クリティカル 2 Database System version is not sanctioned データベースシステムのバージョンは認可されていません クリティカル 3 Bucket is public バケットは公開されています クリティカル 4 VCN Security list allows traffic to non-public port from all sources (0.0.0.0/0) VCNセキュリティリストは、すべてのソースから非パブリックポートへのトラフィックを許可します （0.0.0.0/0） クリティカル 5 VCN Security list allows traffic to restricted port VCNセキュリティリストは、制限されたポートへのトラフィックを許可します クリティカル 6 Load balancer SSL certificate expiring soon ロードバランサーSSL証明書の有効期限が間もなく切れます クリティカル 7 Database version is not sanctioned データベースのバージョンは認可されていません クリティカル 8 Instance has a public IP address インスタンスにはパブリックIPアドレスがあります 高 9 Database System has public IP address データベースシステムにはパブリックIPアドレスがあります 高 10 Database is not backed up automatically データベースは自動的にバックアップされません 高 11 NSG ingress rule contains disallowed IP/port NSG入力ルールに許可されていないIP /ポートが含まれている 高 12 NSG egress rule contains disallowed IP/port NSG出力ルールに許可されていないIP /ポートが含まれている 中 13 Key has not been rotated キーがローテーションされていません 中 14 Tenancy admin privilege granted to group グループに付与されたテナンシー管理者権限 中 15 IAM group has too many members IAMグループのメンバーが多すぎます 中 16 Instance is running without required Tags インスタンスは必要なタグなしで実行されています 中 17 VCN has no inbound Security List VCNにはインバウンドセキュリティリストがありません 中 18 Password is too old パスワードが古すぎます 中 19 User does not have MFA enabled ユーザーがMFAを有効にしていない 中 20 API key is too old APIキーが古すぎます 中 21 Block Volume is not attached ブロックボリュームが接続されていません 中 22 Database patch is not applied データベースパッチが適用されていません 中 23 Database system patch is not applied データベースシステムパッチが適用されていません 中 24 Policy gives too many privileges ポリシーが与える特権が多すぎる 中

20. ディテクタ 20 Copyright © 2025, Oracle and/or its affiliates アクティビティ・ディテクタ・ルール（一部）

    # ディテクタ・ルール ディテクタ・ルール（翻訳版） リスク 1 Suspicious Ip Activity 疑わしいIPアクティビティ クリティカル 2 VCN Network Security Group Deleted VCNネットワークセキュリティグループが削除されました 高 3 Instance terminated インスタンスが終了しました 高 4 Database System terminated データベースシステムが終了しました 高 5 VCN Local Peering Gateway changed VCNローカルピアリングゲートウェイが変更されました 中 6 VCN Route Table changed VCNルートテーブルが変更されました 中 7 VCN DHCP Option changed VCNDHCPオプションが変更されました 中 8 VCN Security List deleted VCNセキュリティリストが削除されました 中 9 VCN Internet Gateway created VCNインターネットゲートウェイが作成されました 中 10 VCN deleted VCNが削除されました 中 11 VCN Network Security Group ingress rule changed VCNネットワークセキュリティグループの入力ルールが変更されました 中 12 VCN Network Security Group egress rule changed VCNネットワークセキュリティグループの出力ルールが変更されました 中 13 VCN Security List ingress rules changed VCNセキュリティリストの入力ルールが変更されました 中 14 VCN Security List egress rules changed VCNセキュリティリストの出力ルールが変更されました 中 15 Subnet Changed サブネットが変更されました 低 16 Subnet deleted サブネットが削除されました 低 17 Update Image 画像を更新 低 18 VCN Security List created VCNセキュリティリストが作成されました 低 19 VCN Internet Gateway terminated VCNインターネットゲートウェイが終了しました 低 20 VCN created 作成されたVCN 低 21 Security policy modified セキュリティポリシーが変更されました 低 22 Import Image 画像のインポート 軽度 23 Export Image 画像のエクスポート 軽度 24 User added to group グループに追加されたユーザー 軽度

21. ディテクタ OCI の監査イベントを継続的に監視し、悪意のある活動を検出 MITRE ATT&CKフレームワークに沿った MLプラットフォームによる攻撃パターンの特定と可視化 ユーザーアクティビティに基づくリスクスコアを算出し、戦術やテクニック、タイミングなどの要素を考慮した攻撃の進行を追跡 21 Copyright ©

    2025, Oracle and/or its affiliates 脅威ディテクタ

22. ディテクタ ルール 手法 ※ 説明 不正ユーザー 不可能な移動 （Impossible Travel） Initial

    Access Valid Accounts: Cloud Accounts (T1078.004) 同一アカウントが短時間に地理的に不可能な場所からアクセスした場合、不正利用の 可能性を検知 永続性 （Persistence） Persistence Account Manipulation: Additional Cloud Credentials (T1098.001) 攻撃者がクラウドアカウントやインスタンスに長期的なアクセスを維持するため、APIキーな どを追加 高度なアクセス Privilege Escalation Valid Accounts: Cloud Accounts (T1078.004) 攻撃者が特権アクティビティを実行可能な権限を取得 減損防止 Defense Evasion Impair Defenses: Disable or Modify Tools (T1562.001) 攻撃者が防御システム（セキュリティツールやバックアップ機能など）を無効化するなどの、 検知や対処の妨害 パスワード推測 （Password Guessing） Credential Access Password Guessing (T1110.001) 1ユーザーに対して複数のパスワードを試す攻撃 パスワードのスプレー （Password Spraying） Credential Access Password Spraying (T1110.003) 多数のユーザーに対して1つのパスワードを使う攻撃 事前認証済リクエスト(PAR)の昇格数 （Elevated Number Of PARs） Exfiltration Exfiltration to Cloud Storage (T1567.002) 攻撃者が認証済リクエスト（PAR）を悪用し、認証なしでデータへアクセス・窃取 ディテクタ 22 Copyright © 2025, Oracle and/or its affiliates 脅威ディテクタ・ルール ※ https://attack.mitre.org/techniques/enterprise/

23. レスポンダ レスポンダは Cloud Guard が検出した問題に対するアクションを実行 2種類のレスポンダ・タイプ Notification : 検出した問題をイベント・サービスと連携。問題検出のイベント発生時に 通知サービスと連携しメール通知やファンクションによるカスタム・スクリプトを実行

    Remediation : 検出した問題を手動または自動でCloud Guardが修正実行 Remediationで実行可能なレスポンダ・レシピ - IAMユーザー・ポリシーの削除、コンピュートインスタンスの停止・削除 Internet Gatewayの削除、Public IPの削除、バケットをプライベートに変更 DBバックアップの有効化, キーのローテーション 検出された問題は、Notificationがデフォルトとして動作 Remediationによる自動実行はユーザー自身で明示的な設定が必要 レスポンダの実行対象を条件で限定することが可能 レスポンダの実行した結果は、Audit ログに記録 23 Copyright © 2025, Oracle and/or its affiliates レスポンダ概要 Cloud Guard ファンクション サービス 通知サービス Notification Remediation レスポンダ・レシピを 実行 イベントサービス 問題

24. レスポンダ 24 Copyright © 2025, Oracle and/or its affiliates レスポンダ・ルール

    レスポンダ・ルール 説明 Type クラウド・イベント （Cloud Event） 問題の詳細をOracle Cloud Infrastructure Eventsサービスに公開します。 NOTIFICATION IAMポリシーの削除 （Delete IAM Policy） 個人またはグループに付与する権限が多すぎるIAMポリシーを削除します。 REMEDIATION インターネット・ゲートウェイの削除 （Delete Internet Gateway） VCNに関連付けられたインターネット・ゲートウェイを削除します。 REMEDIATION パブリックIPの削除 （Delete Public IP(s)） Oracle Cloud Infrastructure ComputeインスタンスのパブリックIPを削除します。 REMEDIATION IAMユーザーの無効化 （Disable IAM User） IAMユーザーの機能を無効にします。 REMEDIATION DBバックアップの有効化 （Enable DB Backup） Oracle Cloud Infrastructure Object Storageへの自動データベース・バックアップを有効にします。 REMEDIATION バケットをプライベートにする （Make Bucket Private） Object Storageバケットの可視性をパブリックからプライベートに変更します。 REMEDIATION Vaultキーのローテーション （Rotate Vault Key） Oracle Cloud Infrastructure Vaultキーをローテーションして新しいキー・バージョンを作成します。 REMEDIATION コンピュート・インスタンスの停止 （Stop Compute Instance） Oracle Cloud Infrastructure Computeインスタンスを正常に停止します。 REMEDIATION コンピュート・インスタンスの終了 （Terminate Compute Instance） ブート・ボリュームを保存し、Oracle Cloud Infrastructure Computeインスタンスを終了します。 REMEDIATION

25. ディテクタ / レスポンダ Oracleマネージドレシピをクローンすることで、ユーザー環境に合わせた設定（Enable/Disable）が可能 25 Copyright © 2025, Oracle and/or

    its affiliates ルールのクローン Oracle Managed Recipe クローンの作成 User Managed Recipe

26. Oracle Cloud Guard 監視例 📌 設定状況を監視（p27） 📌 操作状況を監視（p28） 📌 ユーザアカウントの利用状況を監視（p29）

27. Cloud Guard 監視例① オラクルにて事前定義された“構成のディテクタ・ルール”に基づき、リソースの設定状況を調査します。 ディテクタ・ルールに該当する設定値がある場合、脆弱な設定状態として検出されます 27 Copyright © 2025, Oracle

    and/or its affiliates 設定状況を監視 【監視のメリット】 📌 設定内容に問題があるかを調査することで、脆弱な設定が悪用される前に修正することができる 📌 全ての問題に対して調査することで設定の不備が改善し、セキュリティベースラインが向上へと繋がる 脆弱な設定状態として検出された内容は、「問題」 に 一覧表示。 リスク・レベルなどを参考に対応の優先順位を検討し、 検出されている設定内容の問題を調査。 上記問題（VCN Securitylist allows traffic to restricted port）の場合、VCNのセキュリティリストに 不要なポートが許可されている為、許可する必要が あ るかを再検討。 問題があるVCNセキュリティリストを 確認し、許可する必要のないポー トを見直し、必要に応じてセキュリ ティリストを修正する。 左図の設定は、OCIを試験運用 する為に全ポートに対してアクセス を許可。この状態は外部から容易 に攻撃され易い為、早期対応が 必要。 設定内容を修正後、当該問題の 画面に戻り、該当する対応 （修正、解決済みとしてマーク、 終了）を選択する。

28. Cloud Guard 監視例② オラクルにて事前定義された“アクティビティのディテクタ・ルール”に基づき、リソースの操作内容を調査します。 ディテクタ・ルールに該当する操作が行われた場合、問題のある操作として検出されます。 28 Copyright © 2025, Oracle

    and/or its affiliates 操作状況を監視 ディテクタ・ルールに該当するリソースの操作（作成、修 正、削除、停止、等）が行われた場合、問題のある操 作として「問題」 に一覧表示。 該当のVCNセキュリティリストが不 正に変更されていないかを確認し、 必要に応じてセキュリティリストを 修正する。 不正操作が疑われる場合、ユー ザーに関する調査も行う。 アクセス制御に不備があると不正 侵入される可能性が高くなる為、 早期対応が必要。 リスク・レベルなどを参考に対応の優先順位を検討し、 検出されている設定内容の問題を調査。 上記問題（VCN Security List ingress rules changed）の場合、VCNのセキュリティリストのイングレ スルール（内部への通信）が変更された為、当該 操 作が予定されたものかを確認。 適正な操作であったかを確認し、 設定内容を修正後、当該問題 の画面に戻り、該当する対応 （修正、解決済みとしてマーク、 終了）を選択する。 【監視のメリット】 📌 操作内容が予定されたものであるかを調査することで、不正利用への対策および監視強化を行うことができる 📌 全ての操作内容に対して調査・対応することで、情報漏洩などに繋がるセキュリティインシデントを抑止できる

29. Cloud Guard 監視例③ オラクルにて事前定義された“脅威ディテクタ・ルール”に基づき、OCIのリソースに対して「破壊目的での使用」 や 「その可能性を示して いるアクティビティ」などのパターンを分析し、疑わしい振る舞いのユーザーアカウントを検出。 29 Copyright ©

    2025, Oracle and/or its affiliates ユーザーアカウントの利用状況を監視 【監視のメリット】 📌 検出されたユーザーが不正利用されていないかを調査することで、ユーザーに対 する迅速な処置ができる。 【例】： ユーザーの“停止” または “削除”、等 📌 振る舞いを監視することでユーザーアカウントの乗っ取りなどを把握できる 【観察】 ディテクタ・ルールに基づいた操作 状況を分析およびスコアリングし た結果を表示します。 検出されたユーザーの振る舞いに ついて確認します。 【影響を受けるリソース】 不正操作の疑いがある関連 リソースの情報が表示されます。 予定のないリソースへのアクセス があるかを確認します。 【エンドポイント】 リソースへのアクセス元となるIP アドレスが表示されます。 通常とは異なるIPアドレスからの アクセスであるかを確認します。
30. None