Tweet
Tweet

Slide 1

Slide 1 text

Cloud Guard 設定・操作ガイド 日本オラクル株式会社 2025年8月

Slide 2

Slide 2 text

目次 1 2 3 4 Cloud Guard 概要(p3) Cloud Guard 設定手順(p9) Cloud Guard 検出結果と対応(p28) Cloud Guard 応用編(p51) Copyright © 2025, Oracle and/or its affiliates 2

Slide 3

Slide 3 text

Cloud Guard 概要

Slide 4

Slide 4 text

Cloud Guard サービス概要/特徴 • OCIで展開されているサービスの設定内容やOCIユーザーの アクティビティを監視することで安全なクラウド運用を実現 • 事前定義されたディテクタ・レシピに基づいて、セキュリティ インシデントに繋がる可能性があるセキュリティリスクを可視化 • ディテクタ・レシピは定期的に更新され、新たなセキュリティ リスクにも対応 • 検出された問題はリスクレベルで評価し、テナント全体の 健全性をスコアリング ユース・ケース • テナント全体を監視対象とし、各リソースに脆弱な設定が ないか?、ユーザーによる不正操作がないか?を監視 • 現状のセキュリティリスクを可視化し、脆弱性な設定値の 見直しや操作プロセスなどの見直し • オブジェクト・ストレージからの情報漏洩を懸念して、設定値 がパブリックとなった際、検知から修復までを自動化 • セキュリティリスクの高い問題が検知された場合、管理者へ メール通知して迅速な対応を行う サービス価格 • 無償 4 Copyright © 2025, Oracle and/or its affiliates クラウドの設定ミスによる情報漏洩を防止 問題の検知 アクション実行 リスク評価 Cloud Guard Host Scanning Networking, Load Balancer Compute, Storages Databas es Vault IAM

Slide 5

Slide 5 text

Cloud Guard 5 Copyright © 2025, Oracle and/or its affiliates 検知結果のイメージ Cloud Guardダッシュボード 検出された問題

Slide 6

Slide 6 text

Cloud Guard 6 Copyright © 2025, Oracle and/or its affiliates 動作フローとコンポーネント 脆弱性を検出するディテクタは 構成、アクティビティ、脅威の 3タイプで構成 それぞれのレシピと呼ばれる ポリシーに基づきチェック レシピはOracleにより メンテナンスされる Stop Instance Suspend User Disable Bucket レスポンダは検出された問題に 対しての自動対応 ユーザーへの通知や、 対応する是正処理を自動実行 し、問題の自己解決を行う ターゲットはCloud Guardが 監視対象にするコンパートメント 指定したコンパートメント下の サブコンパートメントも対象 root指定時は、 コンパートメント全てが対象に リソースの設定に不備や 疑わしいアクセスが発生した場合、 問題として検出し、レシピ内容に 応じたリスクレベルに分類 Configuration Activity Threat ターゲット (Targets) ディテクタ (Detectors) 問題 (Problems) レスポンダ (Responders)

Slide 7

Slide 7 text

Compute Cloud Guard Detectors Cloud Guard ディテクタは事前定義された検出ルールを基に監査ログおよび各リソースの設定状況を監視し、問題点を検出 検出ルールを定義したルールセット(ディテクタ・レシピ)は次の4種類 構成ディテクタ・レシピ : オブジェクトストレージやVCNなどのOCIの各サービス設定に関する検出ルール アクテイビティ・ディテクタ・レシピ : VCNのセキュリティルール変更やユーザーのグループ追加などのリソース操作に関する検出ルール 脅威ディテクタ・レシピ : 不正操作の疑いがあるユーザーアカウントに関する検出ルール インスタンス・セキュリティ・ディテクタ・レシピ : コンピュートホストでの不審な振る舞いの検知ルール 事前定義されたディテクタ・レシピを基に監査ログおよび各リソースの設定状況を監視し、問題点を検出 Oracleマネージドとして提供され、ルールの新規追加やアップデートは適宜実施 7 Copyright © 2025, Oracle and/or its affiliates ディテクタ Compute, Object Storage, Networking等の構成 操作状況を監視 インスタンス・セキュリティ・ディテクタ・レシピ オープンポートや脆弱性を報告 監査ログ 脅威ディテクタ・レシピ 構成ディテクタ・レシピ アクティビティ・ディテクタ・レシピ 設定状況を監視

Slide 8

Slide 8 text

Cloud Guard レスポンダは Cloud Guard が検出した問題に対するアクションを実行 2種類のレスポンダ・タイプ Notification : 検出した問題をイベント・サービスと連携。問題検出のイベント発生時に 通知サービスと連携しメール通知やファンクションによるカスタム・スクリプトを実行 Remediation : 検出した問題を手動または自動でCloud Guardが修正実行 Remediationで実行可能なレスポンダ・レシピ - IAMユーザー・ポリシーの削除、コンピュートインスタンスの停止・削除 Internet Gatewayの削除、Public IPの削除、バケットをプライベートに変更 DBバックアップの有効化, キーのローテーション 検出された問題は、Notificationがデフォルトとして動作 Remediationによる自動実行はユーザー自身で明示的な設定が必要 レスポンダの実行対象を条件で限定することが可能 レスポンダの実行した結果は、Audit に記録 8 Copyright © 2025, Oracle and/or its affiliates レスポンダ Cloud Guard ファンクション サービス 通知サービス Notification Remediation レスポンダ・レシピを 実行 イベントサービス 問題

Slide 9

Slide 9 text

Cloud Guard 設定手順 📌 前提条件と構成(p10) 📌 Cloud Guardの有効化(p12) 📌 通知とイベントの作成(オプション)(p18)

Slide 10

Slide 10 text

Cloud Guard 設定手順 前提条件: ✓ Administratorグループに所属するユーザー(OCI管理者)で実施 ✓ ルート・コンパートメント(全てのリソース)を対象にCloud Guardの設定および監視 ✓ オラクルが提供するディテクタ・レシピおよびレスポンダ・レシピを利用 ✓ OCIコンソールの言語設定を「日本語」に設定 ✓ 有料テナンシであること(Always Free テナンシでは使用できません) 注意事項: 画面の構成や操作手順は、UIの変更により変更されることがあります 参考文献: https://docs.oracle.com/ja-jp/iaas/Content/cloud-guard/home.htm(日本語サイト) 10 Copyright © 2025, Oracle and/or its affiliates 前提条件と構成 VCN Tenancy (Tokyo DC) システム構成(例): Compartment (Target) Compute Object Storage Block Storage Buckets Database Cloud Guard

Slide 11

Slide 11 text

Cloud Guard 設定手順 Administratorグループに所属しないユーザーがCloud Guardを利用する場合、Cloud Guardを管理する為のグループを 作成および管理対象ユーザーを追加します。 1. テナンシ管理者としてOracle Cloud Infrastructureコンソールにログインします。 2. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「グループ」をクリックします。 3. 「グループの作成」をクリックします。 4. 必要なフィールドに入力し、「作成」をクリックします。 5. 作成したグループにCloud Guard用のユーザーを追加します。 参考: https://docs.oracle.com/ja-jp/iaas/Content/cloud-guard/using/prerequisites.htm 11 Copyright © 2025, Oracle and/or its affiliates 参考: Cloud Guard用のグループ作成およびユーザーの追加

Slide 12

Slide 12 text

Cloud Guard 設定手順 Cloud Guardを利用するための設定を行います。 12 Copyright © 2025, Oracle and/or its affiliates Cloud Guardの有効化(1/5) 1. 「アイデンティティとセキュリティ」をクリック 2. 「クラウド・ガード」をクリック 3. 「クラウド・ガードの有効化」 をクリック

Slide 13

Slide 13 text

Cloud Guard 設定手順 Cloud Guardの全機能を利用する為のポリシーを作成します。 13 Copyright © 2025, Oracle and/or its affiliates Cloud Guardの有効化(2/5) 1. 「ポリシーの作成」をクリック 2. CloudGuardPoliciesの名称でポリシーが 追加されたことを確認し、「次」をクリック

Slide 14

Slide 14 text

Cloud Guard 設定手順 Cloud Guardに関する基本情報(レポート・リージョン、監視対象コンパートメント、ディテクタ・レシピ)を選択し、有効化を行います。 14 Copyright © 2025, Oracle and/or its affiliates Cloud Guardの有効化(3/5) 1. 検出された結果を管理する 「レポート・リージョン」を選択 【補足説明】: Cloud Guardを有効化した後にレポート・リージョンの変更はできません。 レポート・リージョンを変更する場合、Cloud Guardの無効化が必要に なる事をご留意してください。 2. ルートコンパートメント(全てのリソースを 監視対象とする為、「全て」を選択 該当のコンパートメントを選択する場合、 「コンパートメントの選択」より対象コンパートメントを選択 3. 各ディテクタ・レシピを以下の様に選択 【構成】: OCI Configuration Detector Recipe(Oracle管理) 【アクティビティ】: OCI Activity Detector Recipe(Oracle管理) 【脅威】: OCI Threat Detector Recipe (Oracle管理) 4. 「有効化」をクリック

Slide 15

Slide 15 text

Cloud Guard 設定手順 Cloud Guardが有効化された事を確認します。 15 Copyright © 2025, Oracle and/or its affiliates Cloud Guardの有効化(4/5)

Slide 16

Slide 16 text

Cloud Guard 設定手順 Cloud Guardが有効化されると、現状のセキュリティリスク(概要、問題などの項目)が表示されます。 16 Copyright © 2025, Oracle and/or its affiliates Cloud Guardの有効化(5/5) 【セキュリティ・スコア】 過去30日間の監視結果を基に、システムの 保護状態に関する評価が表示されます。セキュ リティ・スコアが高いほど優れており、100のセキュ リティ・スコアはどのリソースに 対しても問題が検出されな かったことを意味します。 【問題のスナップショット】 重大度レベル別に問題を表示し、ドリルダウンし て「問題」ページの各重大度レベルから問題のリ ストを参照します。 【問題】 コンパートメント、リージョンまたはリソース・タイプ別 に問題を表示し、ドリルダウンして「問題」ページに リストされた問題名から参照します。 【ユーザー・アクティビティの問題】 ソースIPアドレスに基づいて、ユーザー・アクティ ビティの地理的起点を示すマップを表示します。 【レスポンダ・ステータス】 Cloud Guardのレスポンダを介して、実行された 最近の修正を確認します。 【リスクのスコア】 問題の数と重大度に関連します。多くのリソースを持つ組織では、多くの問 題が検出する可能性が高く、リスク・スコアも高くなります。 多くのリソースがある場合、セキュリティ・スコアが優れていてもリスク・スコアは 高くなる可能性があります。 【セキュリティ推奨】 セキュリティとリスクのスコアを改善する為の推奨事項です。 Cloud Guardが検出した最も優先度の高い問題を迅速に特定して 解決します。

Slide 17

Slide 17 text

Cloud Guard 設定手順 Cloud Guardは、ベースラインアプローチによるリソースの設定状況や操作内容などについて監査します。 セキュリティ要件・基準を明確化し、要件・基準に応じたセキュリティ運用を行うことでセキュリティレベルの向上を実現します。 17 Copyright © 2025, Oracle and/or its affiliates Cloud Guardの有効的な利用方法 PDCA Plan Do Action Check クラウドセキュリティ要件・基準の定義 Cloud Guardの監査ポリシーを設定・実行 Cloud Guardの監査結果を確認 各種リソースの設定値を見直し ◼ アカウント管理 ◼ ログの監査 ◼ データの暗号化 ◼ 脆弱性管理(パッチ適用) ・ ・ クラウドセキュリティ要件・基準 VCN Compute Object Storage IAM Policy

Slide 18

Slide 18 text

Cloud Guard 設定手順 Cloud Guardで検出された問題をOCIの「通知」および「イベント」機能を利用して管理者へメール通知します。 先ずは、Cloud Guardの「ターゲット」に設定されている「レスポンダ・レシピ」の設定を確認します。 ※ 管理者へのメール通知が不要な場合、本手順はスキップしてください 18 Copyright © 2025, Oracle and/or its affiliates 通知とイベントの作成(オプション)(1/10) 2. 該当のターゲット名を クリック 3. OCI Responder Recipe(Oracle管理)を クリック 1. 監視対象コンパートメントを 選択 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 19

Slide 19 text

Cloud Guard 設定手順 Cloud Eventのステータスが「有効」、且つルール・トリガーが「自動的に実装」の設定であることを確認します。 設定を変更されている場合は、以下に設定値に合わせてください。 19 Copyright © 2025, Oracle and/or its affiliates 通知とイベントの作成(オプション)(2/10) 【補足説明】: デフォルトの状態は以下の通りです。 【ステータス】: 有効 / 【ルール・トリガー】: 自動的に実装 Cloud Eventより3つの点を クリックして「編集」をクリック ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 20

Slide 20 text

Cloud Guard 設定手順 次に、「通知」よりメールの通知先を設定します。 20 Copyright © 2025, Oracle and/or its affiliates 通知とイベントの作成(オプション)(3/10) 1. 「開発者サービス」を クリック 2. 「通知」をクリック 3. 監視対象コンパートメントを 選択 4. 「トピックの作成」を クリック ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 21

Slide 21 text

Cloud Guard 設定手順 トピックの作成画面にて、通知に関する情報を記入します。 21 Copyright © 2025, Oracle and/or its affiliates 通知とイベントの作成(オプション)(4/10) 1. 任意の名前と説明を入力 2. 「作成」をクリック

Slide 22

Slide 22 text

Cloud Guard 設定手順 作成したトピックの詳細画面より「サブスクリプション」を作成します。 22 Copyright © 2025, Oracle and/or its affiliates 通知とイベントの作成(オプション)(5/10) 2. 「サブスクリプションの作成」をクリック 3. 電子メールを選択 4. 通知先の「メールアドレス」を入力 5. 「作成」をクリック 1. 監視対象コンパートメントを選択 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 23

Slide 23 text

Cloud Guard 設定手順 作成したサブスクリプションの詳細画面を確認します。 その後、通知先のメールアドレスに「OCI通知サービスのサブスクリプション」に関する確認メールが届きますので、内容を確認します。 23 Copyright © 2025, Oracle and/or its affiliates 通知とイベントの作成(オプション)(6/10) 1. 「Pending Confirmation」と 表示 2. 「Confirm subscription」をクリック 3. Subscription confirmedの ページとブラウザに表示 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 24

Slide 24 text

Cloud Guard 設定手順 「サブスクリプション」が作成されたことを確認します。 以上で、通知先のメールアドレスの設定が完了となります。 24 Copyright © 2025, Oracle and/or its affiliates 通知とイベントの作成(オプション)(7/10) 2. 通知先のメールアドレスが表示 1. 監視対象コンパートメントを選択 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 25

Slide 25 text

Cloud Guard 設定手順 最後に、「イベント」よりCloud Guardで検出された問題を通知先のメールアドレスに送信する設定を行います。 25 Copyright © 2025, Oracle and/or its affiliates 通知とイベントの作成(オプション)(8/10) 1. 「監視および管理」をクリック 3. 監視対象コンパートメントを選択 4. 「ルールの作成」をクリック 2. 「イベント・サービス」をクリック ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 26

Slide 26 text

Cloud Guard 設定手順 ルールの作成画面にて、Cloud Guardで検出された問題を通知先のメールアドレスに送信できるよう、 「ルール条件」と「アクション」を定義します。 26 Copyright © 2025, Oracle and/or its affiliates 通知とイベントの作成(オプション)(9/10) 1. 任意の名前と説明を入力 2. ルール条件で以下を設定 【条件】: イベントタイプ 【サービス名】: Cloud Guard 【イベント・タイプ】: Detected -Problem 3. アクションで以下を設定 【アクション・タイプ】: 通知 【通知コンパートメント】: 監視対象コンパートメント 【トピック】: 作成したトピック名 4. 「ルールの作成」をクリック 【補足説明】: Cloud Guardのイベント・タイプは、検出された問題以外もあります。 詳しくは、以下のサイトを参照してください。 https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/export- notifs-config.htm#export-notifs-events ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 27

Slide 27 text

Cloud Guard 設定手順 「イベントのルール」が作成されたことを確認します。 以上で、イベントの設定が完了となります。Cloud Guardで問題を検出すると通知先のメールアドレスにメールが送信されます。 27 Copyright © 2025, Oracle and/or its affiliates 通知とイベントの作成(オプション)(10/10) 1. 監視対象コンパートメントを選択 2. 作成されたルールをクリック 3. 「Detected - Problem」の イベントが追加されたことを確認 メールを受信 【補足説明】: 検出される問題が多い場合、大量のメールを受信することになる為、 通知とイベントに関しては、運用面を鑑みて設定することを推奨します。 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 28

Slide 28 text

Cloud Guard 検出結果と対応 📌 検出された問題の見方(p29) 📌 「推奨事項」ページからの対応(p30) 📌 「問題」ページからの対応(p38) 📌 「脅威モニタリング」ページからの対応(p45)

Slide 29

Slide 29 text

Cloud Guard 検出結果と対応 検出されたセキュリティの問題に対応する為、Cloud Guardではコンポーネントを提供しています。 各コンポーネントを用いて検出された問題を把握し、効率的に対応することでセキュリティレベルの向上へと繋げます。 29 Copyright © 2025, Oracle and/or its affiliates 検出された問題の見方 【推奨事項】ページ セキュリティリスクの高い上位10件の問題が表示 されます 【問題】ページ リスク・レベル問わず、検出された問題が一覧表 示されます 【脅威モニタリング】ページ ユーザーアカウントによる不正操作の疑いがある アクティビティについて表示されます Cloud Guardのトップ画面(概要ページ)

Slide 30

Slide 30 text

Cloud Guard 検出結果と対応 Cloud Guardを初めて利用される方やどの問題から対応したら良いか分からない場合、「推奨事項」で表示される最もクリティカルな問 題(上位10件)から対応してください。不正利用などに繋がる可能性がある設定内容を効率的に是正することができます。 30 Copyright © 2025, Oracle and/or its affiliates 「推奨事項」ページからの対応(1/7) 1. 「推奨事項」をクリック 2. 監視対象とするコンパートメントを選択 3. 該当の推奨事項より3つの点を クリックして「問題の表示」をクリック 例: 「Bucket is public」を選択 該当の問題に関するフィルタが設定された状態で 「問題」ページに遷移します。 問題に関するフィルタが設定 例:問題名 = Bucket is public、 ターゲット = 該当のターゲット名 4. 該当の問題名をクリック

Slide 31

Slide 31 text

Cloud Guard 検出結果と対応 「推奨」に記載されている内容を確認し、該当リソースに対して手動で設定値を修正します。 以下、「Bucket is public」に関する問題への対応方法となります。 31 Copyright © 2025, Oracle and/or its affiliates 「推奨事項」ページからの対応(2/7) 2. 推奨に記載されている内容を確認 【補足説明】: 推奨に記載される内容は英語表記となる為、必要に応じて翻訳 ツールなどを利用してください。 1. 該当リソースなどを確認 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 32

Slide 32 text

Cloud Guard 検出結果と対応 「ストレージ」 → 「オブジェクト・ストレージとアーカイブ・ストレージ」より、該当バケットの「可視性」をパブリックからプライベー トに変更します。 32 Copyright © 2025, Oracle and/or its affiliates 「推奨事項」ページからの対応(3/7) 2. 該当バケットをクリック 3. 「可視性の編集」をクリック ※ 社内検証環境の為、コンパートメント名などは伏せています 1. 該当コンパートメントを選択

Slide 33

Slide 33 text

Cloud Guard 検出結果と対応 該当バケットの「可視性」をパブリックからプライベートに変更します。 33 Copyright © 2025, Oracle and/or its affiliates 「推奨事項」ページからの対応(4/7) 1. 「プライベート」を選択 2. 「変更の保存」をクリック ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 34

Slide 34 text

Cloud Guard 検出結果と対応 該当バケットの「可視性」がプライベートに変更されたことを確認します。 34 Copyright © 2025, Oracle and/or its affiliates 「推奨事項」ページからの対応(5/7) プライベートに変更されたことを確認 オブジェクトストレージの画面でも プライベートに変更されたことを確認 ※ 社内検証環境の為、コンパートメント名などは伏せています オブジェクトストレージの画面

Slide 35

Slide 35 text

Cloud Guard 検出結果と対応 設定内容を修正後、該当の問題画面へと戻り、問題に対する該当のアクション(「解決済みとしてマーク」)を選択します。 今回は、手動で設定値を修正した為、「解決済みとしてマーク」の選択となります。 35 Copyright © 2025, Oracle and/or its affiliates 「推奨事項」ページからの対応(6/7) 1. 「解決済みとしてマーク」をクリック 2. 任意のコメントを入力 3. 「解決済みとしてマーク」をクリック ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 36

Slide 36 text

Cloud Guard 検出結果と対応 「Bucket is public」に関する問題が解決されたことを確認します。 以上で、問題への対応が完了となります。他の検出されている問題でも同じような流れで対応ください。 36 Copyright © 2025, Oracle and/or its affiliates 「推奨事項」ページからの対応(7/7) 2. 「問題」をクリック 1. 「解決済」に変更されたことを確認 4. ステータスで「解決済」を選択 5. 該当バケットの問題が リストにあることを確認 3. 該当コンパートメントを選択 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 37

Slide 37 text

Cloud Guard 検出結果と対応 問題に対するアクションの実行は、3つの種類(「修正」、「解決済みとしてマーク」、「終了」)があります。 それぞれの特徴およびURLを以下に記載していますので、どのアクションを選択するかの参考にしてください。 37 Copyright © 2025, Oracle and/or its affiliates 「推奨事項」ページからの対応 ~ 問題に対するアクションの注意事項 ~ 修正 「修正」をクリックすることで、Cloud Guardのレスポンダを使用してアクションを実行します。但し、 レスポンダで対応できない問題もあり、その場合は「修正」ボタンがグレーアウトされています。また、 将来発生する同じ問題に対しても同じレスポンダを実行してCloud Guardで自動解決します。 担当者を介さずにCloud Guardで自動解決する為、「ディテクタ・レシピ」および「レスポンダ・ レシピ」に関する知見のある方向けのアクションとなります。 解決済みとしてマーク 担当者が手動で任意のアクションを該当リソースで実行します。その後、「解決済みとしてマーク」を クリックして、修正した該当問題を解決済みにします。 Cloud Guardに関する知見が浅い方など向けのアクションとなります。(推奨) 終了 「終了」をクリックして問題をクローズします。検出された問題の対応を必要としない場合または同じ 問題を再度検出する必要がない場合などに選択します。 次回以降、同じ問題が検出されなくなる為、セキュリティリスクを鑑みたうえで選択してください。 【参照】: https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/problems-page.htm ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 38

Slide 38 text

Cloud Guard 検出結果と対応 検出されたセキュリティの問題を一覧で確認します。 必要に応じて、前項で説明したフィルタ機能などを利用して問題を精査します。以下、「ディテクタ・タイプ= 構成」でフィルタします。 38 Copyright © 2025, Oracle and/or its affiliates 「問題」ページからの対応(1/6) 3. 「フィルタ」より「ディテクタ・タイプ= 構成」を 選択 1. 「問題」をクリック 2. 監視対象とするコンパートメントを 選択 4. 「ディテクタ・タイプが「構成」 に絞り込まれたことを確認 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 39

Slide 39 text

Cloud Guard 検出結果と対応 また、リスク・レベルの高い問題から対応する場合、フィルタ機能に加え「リスク・レベル」でソートします。 リスク・レベルの高い問題は不正利用などに繋がる可能性がある為、早めに問題を把握し、対応することを推奨します。 39 Copyright © 2025, Oracle and/or its affiliates 「問題」ページからの対応(2/6) 1. 「リスク・レベル」のカラムで、▲▼印を クリックし、レベルの高い順に並び替え 2. 該当の問題名をクリック ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 40

Slide 40 text

Cloud Guard 検出結果と対応 「推奨」に記載されている内容を確認し、該当リソースに対して手動で設定値を修正します。 以下、「VCN Security list allows traffic to restricted port」に関する問題への対応方法となります。 40 Copyright © 2025, Oracle and/or its affiliates 「問題」ページからの対応(3/6) 4. 推奨に記載されている内容を確認 【補足説明】: 推奨に記載される内容は英語表記となる為、必要に応じて翻訳 ツールなどを利用してください。 1. 該当リソースなどを確認 3. 現在、VCNのセキュリティリストで オープンしているTCP/UCPポート番号を 確認 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 41

Slide 41 text

Cloud Guard 検出結果と対応 「ネットワーキング」 → 「仮想クラウド・ネットワーク」 → 「該当コンパート」 → 「該当VCN」 → 「該当セキュリティ・リスト」で設定されて いるイングレス・ルールを見直します。 41 Copyright © 2025, Oracle and/or its affiliates 「問題」ページからの対応(4/6) 1. 「イングレス・ルール」をクリック 2. 「宛先ポート範囲」を確認 3. 各レシピより3つの点をクリックして 「編集」または「削除」をクリック 【補足説明】: 検出されたポートがこのセキュリティ・リストのイングレス・ルールでオープンする 必要が あるかを確認し、開く必要がない場合は閉じます。または、ユーザー 環境で使用しているポートを監査対象外とする場合、構成ディテクタ・レシピ を編集することで問題 として検出されなくなります。 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 42

Slide 42 text

Cloud Guard 検出結果と対応 イングレス・ルールを修正後、該当の問題画面へと戻り、問題に対する該当のアクション(「解決済みとしてマーク」)を選択します。 今回は、イングレス・ルールを編集または削除したと事とし、「解決済みとしてマーク」の選択となります。 42 Copyright © 2025, Oracle and/or its affiliates 「問題」ページからの対応(5/6) 1. 「解決済みとしてマーク」をクリック 2. 任意のコメントを入力 3. 「解決済みとしてマーク」をクリック 【補足説明】: 問題の検出を監視対象外とする場合、「終了」をクリックします。 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 43

Slide 43 text

Cloud Guard 検出結果と対応 「VCN Security list allows traffic to restricted port」に関する問題が解決されたことを確認します。 以上で、問題への対応が完了となります。他の検出されている問題でも同じような流れで対応ください。 43 Copyright © 2025, Oracle and/or its affiliates 「問題」ページからの対応(6/6) 2. 「問題」をクリック 4. ステータスで「解決済」を選択 1. 「解決済」に変更されたことを確認 5. 該当VCNセキュリティ・リストの 問題がリストにあることを確認 3. 該当コンパートメントを選択 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 44

Slide 44 text

Cloud Guard 検出結果と対応 検出されたセキュリティの問題を一覧で把握したうえで、特定の問題に対応したい場合などは「問題」ページへアクセスしてください。 ソート・フィルタ機能を活用することで検出された問題を精査し、効率的に対応することができます。 44 Copyright © 2025, Oracle and/or its affiliates 「問題」ページからの対応 ~ 問題を検索する際のソート・フィルタ機能 ~ 【ステータス】 検出された問題のステータスを 選択します。 • オープン:問題が未処理 • 修正:レスポンダにて修正済 • 解決:手動などで修正済 • 終了:処理ぜずにクローズ済 • 削除済:関連ターゲットが削除 【リソース・タイプ】 検出された問題をリソース・タイプ 別に表示します。特定リソースの 問題を把握・対応する場合など にに利用します。 【検出された時間】 検出された問題を特定の日付 範囲で表示します。デフォルトは 最後に検出された過去30日間 の問題が表示されます。 【フィルタ】 検出された問題をカテゴリ別に 表示します。「リスク・レベル」や 「ディテクタ・タイプ」などで分類し、 リスクの高い問題を把握・対応 する場合などにに利用します。 【ソート】 「リスク・レベル」、「リソース」、「前回の検出」のカラムで、▲▼印をクリックする ことでソートされ、簡単に並び替えができます。 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 45

Slide 45 text

Cloud Guard 検出結果と対応 リソースに対して「破壊目的での使用」や「その可能性を示しているアクティビティ」などのパターンを分析し、ユーザーアクティビティに関する リスク・スコアが表示されます。ユーザーアカウントの不正利用を調査したい場合などは、「脅威モニタリング」ページへアクセスしてください。 45 Copyright © 2025, Oracle and/or its affiliates 「脅威モニタリング」ページからの対応(1/6) 1. 「脅威モニタリング」をクリック 2. ルート・コンパートメントを選択 【補足説明】: リスク・スコアは、過去14日間の最高リスク・スコアに基づいて割り当て られます。また、リスク・スコアが閾値(80)を超えると問題として識別 され、「問題」ページに脅威ディテクタ・タイプとして表示されます。 3. 上部のチャートや「リスクのスコア」 を参考に調査するユーザーをクリック 表示されるチャートの表示を選択します。 デフォルトでは、過去30日間に上位10の リスク・スコアが表示されます。 リスク・スコアを基に、不正操作の疑いがある ユーザーアカウントを絞り込みます。リスク・スコアが 高い程、ユーザーアカウントが乗っ取られている 可能性がある為、リスク・スコアの高いユーザー アカウントから調査することを推奨します。 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 46

Slide 46 text

Cloud Guard 検出結果と対応 該当のユーザーアカウントにおける脅威モニタリング状況を「観察」、「影響を受けるリソース」、「エンドポイント」の観点で表示します。 各観点での調査より、不正操作の疑いやユーザーアカウントが乗っ取られていないかを確認します。 46 Copyright © 2025, Oracle and/or its affiliates 「脅威モニタリング」ページからの対応(2/6) 【観察】 ディテクタ・ルールに基づいた操作状況を分析およびスコアリングした結果 を表示します。スコアリングでは攻撃を示す可能性と攻撃における深刻度 で評価されます。 【影響を受けるリソース】 不正操作された疑いがある関連リソースの情報が表示されます。 【エンドポイント】 リソースへのアクセス元となるIPアドレスが表示されます。 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 47

Slide 47 text

Cloud Guard 検出結果と対応 ディテクタ・ルールに基づいた操作状況を分析およびスコアリング(重大度と信頼の評価を他の要因と組み合せて観察スコアを数値化) します。検出されたユーザーアカウントの振る舞いについて確認し、予定されたリソースへの操作内容であるかを調査します。 47 Copyright © 2025, Oracle and/or its affiliates 「脅威モニタリング」ページからの対応(3/6)~ 概要 ~ 1. 「概要」をクリック 2. 疑わしい観察タイプをクリック 【補足説明】 「観察タイプ」および「重大度、信頼、観察スコア」を参考に疑わしい操作内容の詳細を 確認します。重大度および信頼の評価については、以下のサイト内にある「ディテクタ・ レ シピ・リファレンス - OCI脅威ディテクタ・ルール」を参照してください。 https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/detect-recipes.htm 3. 予定されたリソースへの 操作内容であるか確認 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 48

Slide 48 text

Cloud Guard 検出結果と対応 不正操作された疑いがある関連リソースの情報が表示されます。予定されていないリソースへのアクセスがあるかを確認し、リソースに対 する影響を調査します。 48 Copyright © 2025, Oracle and/or its affiliates 「脅威モニタリング」ページからの対応(4/6)~ 影響を受けるリソース ~ 1. 「影響を受けるリソース」をクリック 2. 予定されていないリソースへの アクセスがあるかを確認 【補足説明】 ネットワークリソースへのアクセスが多い場合などは、アクセス制御の設定 が脆弱になっていないか?などの調査を行ってください。 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 49

Slide 49 text

Cloud Guard 検出結果と対応 リソースへのアクセス元となるIPアドレスが表示されます。通常とは異なるIPアドレスからのアクセスであるか、どのサービスにアクセスされたか などを確認し、ユーザーアカウントが乗っ取られていないかを調査します。 49 Copyright © 2025, Oracle and/or its affiliates 「脅威モニタリング」ページからの対応(5/6)~ エンドポイント ~ 1. 「エンドポイント」をクリック 2. 通常とは異なるIPアドレス(場所)から のアクセスがあるかを確認 3. どのサービスにアクセスされたかも合わせて確認 【補足説明】 通常とは異なるIPアドレスがある場合、物理的に移動できる距離からの アクセスであるか?、異なるIPアドレスを利用する必要があるのか?など の調査を行ってください。 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 50

Slide 50 text

Cloud Guard 検出結果と対応 リスク・スコアの閾値(80)を超えるとCloud Guardが問題として識別し、「問題」ページに「Rogue User」として表示されます。 「脅威モニタリング」で能動的に調査ができていない場合でも「問題」で検出された際は、前項の内容を沿って調査を行ってください。 50 Copyright © 2025, Oracle and/or its affiliates 「脅威モニタリング」ページからの対応(6/6) 1. 「問題」をクリック 2. 監視対象とするコンパートメントを選択 3. 「フィルタ」より「ディテクタ・タイプ= 脅威」を選択 4. 「Rogue User」をクリック ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 51

Slide 51 text

Cloud Guard 応用編 📌 運用・構成管理の範囲(p52) 📌 ターゲットの管理(p53) 📌 ディテクタ・レシピの管理(p62) 📌 レスポンダ・レシピの管理(p71)

Slide 52

Slide 52 text

Cloud Guard 応用編 ➢ ターゲットの管理(p53) Cloud Guardでの監視対象となるコンパートメント(範囲)を定義したり、監視に利用するレシピを変更することができます。 ルート・コンパートメント以外にも、特定のコンパートメントのみを監視対象にすることも可能です。 また、Security Zonesが設定されたターゲットの詳細も表示できます。 https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/targets.htm ➢ ディテクタ・レシピの管理(p62) ディテクタ・レシピの表示、クローニングおよび変更することができます。ディテクタ・レシピで定義されているディテクタ・ルールに従って、 リソースの構成またはアクティビティに関する潜在的なセキュリティの問題を識別します。 https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/detect-recipes.htm ➢ レスポンダ・レシピの管理(p71) レスポンダ・レシピの表示、クローニングおよび変更することができます。レスポンダ・レシピは、Cloud Guardで問題が検出された際に Cloud Guardで実行するアクションを定義します。 https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/respond-recipes.htm 52 Copyright © 2025, Oracle and/or its affiliates 運用・構成管理の範囲

Slide 53

Slide 53 text

Cloud Guard 応用編 監視対象となるコンパートメント(範囲)を定義します。 ルート・コンパートメント以外にも、特定のコンパートメントに対して監視対象を構成することが可能です。 53 Copyright © 2025, Oracle and/or its affiliates ターゲットの管理(1/9) 1. 「ターゲット」をクリック 2. 監視対象とするコンパートメントを選択 3. 「新規ターゲットの作成」をクリック ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 54

Slide 54 text

Cloud Guard 応用編 監視対象となるコンパートメントおよび問題の検出・対応する為の各種レシピを設定します。 54 Copyright © 2025, Oracle and/or its affiliates ターゲットの管理(2/9) 1. 任意の名前と説明を入力 2. 監視対象とするコンパートメントを選択 4. 「作成」をクリック v 3. 各レシピより任意のディテクタ・レシピ、レスポンダ・レシピを選択 【補足説明】: レシピの選択では、「Oracle管理のレシピ」または「任意のレシピ」より選 択します。 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 55

Slide 55 text

Cloud Guard 応用編 設定したターゲットの詳細が表示され、監視対象のコンパートメントにターゲットが作成されたことを確認します。 55 Copyright © 2025, Oracle and/or its affiliates ターゲットの管理(3/9) 1. 「ターゲット」をクリック 2. 監視対象のコンパートメントを選択 3. ターゲットが作成されたことを確認 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 56

Slide 56 text

Cloud Guard 応用編 また、ターゲットでは、ターゲットに設定されている既存レシピの変更が可能です。現在、設定されているレシピから新たなレシピに変更 したい場合などに必要となる手順です。先ずは、設定されている「ディテクタ・レシピ」を削除します。 例: 「Oracle管理のレシピ」から「任意のレシピ」に変更 56 Copyright © 2025, Oracle and/or its affiliates ターゲットの管理(4/9)~ レシピの変更 ~ 1. 「ターゲット」をクリック 2. 監視対象のコンパートメントを選択 3. 該当の「ターゲット」をクリック 5. 各レシピより3つの点を クリックして「削除」をクリック 4. 「ディテクタ・レシピ」をクリック ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 57

Slide 57 text

Cloud Guard 応用編 次に、設定されている「レスポンダ・レシピ」を削除します。 例: 「Oracle管理のレシピ」から「任意のレシピ」に変更 57 Copyright © 2025, Oracle and/or its affiliates ターゲットの管理(5/9)~ レシピの変更 ~ 1. 「ターゲット」をクリック 2. 監視対象のコンパートメントを選択 3. 該当の「ターゲット」をクリック 5. レシピより3つの点をクリックして 「削除」をクリック 4. 「レスポンダ・レシピ」をクリック ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 58

Slide 58 text

Cloud Guard 応用編 ターゲットに設定されていた「ディテクタ・レシピ」 と 「レスポンダ・レシピ」が削除されたことを確認します。 58 Copyright © 2025, Oracle and/or its affiliates ターゲットの管理(6/9)~ レシピの変更 ~ 3. 「レスポンダ・レシピ」をクリック 1. 「ディテクタ・レシピ」をクリック 2. 各ディテクタ・レシピが削除されたことを確認 4. レスポンダ・レシピが削除されたことを確認 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 59

Slide 59 text

Cloud Guard 応用編 「ディテクタ・レシピ」 と 「レスポンダ・レシピ」が削除されたことで、新たなレシピを設定することが可能になります。 先ずは、「ディテクタ・レシピ」を追加します。 59 Copyright © 2025, Oracle and/or its affiliates ターゲットの管理(7/9)~ レシピの変更 ~ 1. 「ディテクタ・レシピ」をクリック 2. 「レシピの追加」をクリック 3. 各レシピより任意のディテクタ・レシピを選択 4. 「レシピの追加」をクリック ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 60

Slide 60 text

Cloud Guard 応用編 次に、「レスポンダ・レシピ」を追加します。 60 Copyright © 2025, Oracle and/or its affiliates ターゲットの管理(8/9)~ レシピの変更 ~ 1. 「レスポンダ・レシピ」をクリック 2. 「レシピの追加」をクリック 3. 任意のレスポンダ・レシピを選択 4. 「レシピの追加」をクリック ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 61

Slide 61 text

Cloud Guard 応用編 新たに設定した「ディテクタ・レシピ」 と 「レスポンダ・レシピ」がターゲットに追加され、「Oracle管理のレシピ」から「任意のレシピ」に変更 されたことを確認します。 61 Copyright © 2025, Oracle and/or its affiliates ターゲットの管理(9/9)~ レシピの変更 ~ 3. 「レスポンダ・レシピ」をクリック 1. 「ディテクタ・レシピ」をクリック 2. 各ディテクタ・レシピが追加されたことを確認 4. レスポンダ・レシピが追加されたことを確認 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 62

Slide 62 text

Cloud Guard 応用編 Oracle管理のディテクタ・レシピでは、個々のディテクタ・ルールに対して、ステータスの変更(有効/無効)などが出来ません。 個々のディテクタ・ルールに対して、ステータスの変更(有効/無効)を行いたい場合、Oracle管理のレシピが保管されているルート・ コンパートメントより既存レシピのクローンを作成して、任意のディテクタ・レシピにて管理する必要があります。 62 Copyright © 2025, Oracle and/or its affiliates ディテクタ・レシピの管理(1/9) 1. 「ディテクタ・レシピ」をクリック 2. Oracle管理のレシピが保管されている ルート・コンパートメントを選択 3. 「クローン」をクリック 4. 次ページ以降で、 各ディテクタ・レシピのクローンを作成 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 63

Slide 63 text

Cloud Guard 応用編 リソースの構成に関するディテクタ・レシピ(OCI Activity Detector Recipe(Oracle管理))のクローンを作成します。 63 Copyright © 2025, Oracle and/or its affiliates ディテクタ・レシピの管理(2/9) 1. クローン元となるOCI Configuration Detector Recipe(Oracle管理)を選択 2. 任意の名前と説明を入力 3. クローンの保存先となる任意のコンパートメントを選択 4. 「クローン」をクリック 【補足説明】: クローンの保存先については、運用・管理面を考慮してターゲットと 同じコンパートメントで管理されることを推奨します。 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 64

Slide 64 text

Cloud Guard 応用編 リソースのアクティビティに関するディテクタ・レシピ(OCI Configuration Detector Recipe(Oracle管理))のクローンを作成しま す。 64 Copyright © 2025, Oracle and/or its affiliates ディテクタ・レシピの管理(3/9) 1. クローン元となるOCI Activity Detector Recipe (Oracle管理)を選択 2. 任意の名前と説明を入力 3. クローンの保存先となる任意のコンパートメントを選択 4. 「クローン」をクリック 【補足説明】: クローンの保存先については、運用・管理面を考慮してターゲットと 同じコンパートメントで管理されることを推奨します。 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 65

Slide 65 text

Cloud Guard 応用編 リソースの脅威に関するディテクタ・レシピ(OCI Threat Detector Recipe(Oracle管理))のクローンを作成します。 65 Copyright © 2025, Oracle and/or its affiliates ディテクタ・レシピの管理(4/9) 1. クローン元となるOCI Threat Detector Recipe (Oracle管理)を選択 2. 任意の名前と説明を入力 3. クローンの保存先となる任意のコンパートメントを選択 4. 「クローン」をクリック 【補足説明】: クローンの保存先については、運用・管理面を考慮してターゲットと 同じコンパートメントで管理されることを推奨します。 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 66

Slide 66 text

Cloud Guard 応用編 クローンの保存先となったコンパートメントに「構成、アクティビティ、脅威のディテクタ・レシピ(クローン)」が作成されたことを確認します。 66 Copyright © 2025, Oracle and/or its affiliates ディテクタ・レシピの管理(5/9) 3. 構成/アクティビティ/脅威ディテクタ・レシピの クローンが作成されたことを確認 2. クローンの保存先となる任意のコンパートメントを選択 1. 「ディテクタ・レシピ」をクリック 【補足説明】: クローンされたディテクタ・レシピは、「Oracle管理」欄が「いいえ」で 表示されます。 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 67

Slide 67 text

Cloud Guard 応用編 任意のディテクタ・レシピを用いて、ディテクタ・ルールに対する“ステータス(有効/無効)” や “リスク・レベル”などの変更が行えます。 オラクルで事前定義した設定値を編集したい場合などの参考にしてください。 以下、リソースの構成に関するディテクタ・レシピの修正方法となります。 67 Copyright © 2025, Oracle and/or its affiliates ディテクタ・レシピの管理(6/9)~ 構成ディテクタ・レシピの編集 ~ 4. 設定変更したいディテクタ・ルールより 3つの点をクリックして「編集」をクリック 1. 「ディテクタ・レシピ」をクリック 2. クローンで作成された任意のレシピが 保管されているコンパートメントを選択 3. 「構成」のディテクタ・レシピをクリック ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 68

Slide 68 text

Cloud Guard 応用編 以下、「VCN Security list allows traffic to restricted port」のディテクタ・ルールを基に例示します。 当該ディテクタ・ルールを「有効/無効」、リスク・レベルを「クリティカル、高、中、低」に変更する場合、以下の設定となります。 68 Copyright © 2025, Oracle and/or its affiliates ディテクタ・レシピの管理(7/9)~ 構成ディテクタ・レシピの編集 ~ 1. ディテクタ・ルールを有効または無効に変更したい場合 「ステータス」より選択 2. リスク・レベルを変更したい場合、「リスク・レベル」より選択 【リスク・レベル】: クリティカル、高、中、低

Slide 69

Slide 69 text

Cloud Guard 応用編 更に、「VCN Security list allows traffic to restricted port」のディテクタ・ルールでは、ポート制限に関する変更もできます。 ユーザー環境で使用しているポートを監査対象外とする場合、「Restricted Protocol:Ports List」のポート番号を変更します。 「アクティブディテクタ・レシピ」および「脅威ディテクタ・レシピ」においても同様の手順でディテクタ・ルールの編集が可能です。 69 Copyright © 2025, Oracle and/or its affiliates ディテクタ・レシピの管理(8/9)~ 構成ディテクタ・レシピの編集 ~ 1. ポート制限を変更したい場合、入力設定の「Restricted Protocol:Ports List 」よりポート番号を変更 【補足説明】: ディテクタ・ルールによっては、「入力設定」の画面がないものあります。 「入力設定」のあるディテクタ・ルールは、「構成済みの設定」欄に「はい/いいえ」が設定 されています。

Slide 70

Slide 70 text

Cloud Guard 応用編 ディテクタ・レシピの編集には、「ディテクタ・レシピ」メニューから編集 と 「ターゲット」メニュー内のディテクタ・レシピから編集の2つの方法が あります。それぞれで編集できる内容が異なりますので、ご注意ください。 70 Copyright © 2025, Oracle and/or its affiliates ディテクタ・レシピの管理(9/9)~ ディテクタ・レシピの編集における注意事項 ~ 「ディテクタ・レシピ」メニューから編集 「ターゲット」メニュー内のディテクタ・レシピから編集 こちらのディテクタ・レシピでは、「ステータスの変更」、「リスク・レベルの変更」 「ラベル」の変更を行うことは出来ません。 「ステータスの変更」、「リスク・レベルの変更」、「ラベル」の変更したい場合、 こちらのディテクタ・レシピから編集。

Slide 71

Slide 71 text

Cloud Guard 応用編 Oracle管理のレスポンダ・レシピでは、個々のレスポンダ・ルールに対して、ステータスの変更(有効/無効)が出来ません。 個々のレスポンダ・ルールに対して、ステータスの変更(有効/無効)などを行いたい場合、Oracle管理のレシピが保管されているルー ト・コンパートメントより既存レシピのクローンを作成して、任意のレスポンダ・レシピにて管理する必要があります。 71 Copyright © 2025, Oracle and/or its affiliates レスポンダ・レシピの管理(1/10) 1. 「レスポンダ・レシピ」をクリック 2. Oracle管理のレシピが保管されている ルート・コンパートメントを選択 3. 「クローン」をクリック ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 72

Slide 72 text

Cloud Guard 応用編 Cloud Guardで問題を検出した際の対応に関するレスポンダ・レシピ(OCI Responder Recipe(Oracle管理))のクローンを 作成します。 72 Copyright © 2025, Oracle and/or its affiliates レスポンダ・レシピの管理(2/10) 1. クローン元となるOCI Responder Recipe (Oracle管理)を選択 2. 任意の名前と説明を入力 3. クローンの保存先となる任意のコンパートメントを選択 4. 「クローン」をクリック 【補足説明】: クローンの保存先については、運用・管理面を考慮してターゲットと 同じコンパートメントで管理されることを推奨します。 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 73

Slide 73 text

Cloud Guard 応用編 クローンの保存先となったコンパートメントに「レスポンダ・レシピ(クローン)」が作成されたことを確認します。 73 Copyright © 2025, Oracle and/or its affiliates レスポンダ・レシピの管理(3/10) 3. レスポンダ・レシピのクローンが作成されたことを確認 2. クローンの保存先となる任意のコンパートメントを選択 1. 「ディテクタ・レシピ」をクリック クローンされたレスポンダ・レシピは、「Oracle管理」欄が「いいえ」 で表示されます。 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 74

Slide 74 text

Cloud Guard 応用編 任意のレスポンダ・レシピを用いて、レスポンダ・ルールに対するステータス(有効/無効)などの変更が行えます。 オラクルで事前定義した設定値を編集したい場合などの参考にしてください。 以下、「Make Bucket Private」のレスポンダ・ルールの修正方法となります。 74 Copyright © 2025, Oracle and/or its affiliates レスポンダ・レシピの管理(4/10)~ レスポンダ・レシピの編集 ~ 4. 設定変更したいディテクタ・ルールより 3つの点をクリックして「編集」をクリック 1. 「レスポンダ・レシピ」をクリック 2. クローンで作成された任意のレシピが 保管されているコンパートメントを選択 3. 該当のレスポンダ・レシピをクリック ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 75

Slide 75 text

Cloud Guard 応用編 「Make Bucket Private」のレスポンダ・ルールのステータスを変更(有効/無効)する場合、以下の設定となります。 75 Copyright © 2025, Oracle and/or its affiliates レスポンダ・レシピの管理(5/10)~ レスポンダ・レシピの編集 ~ レスポンダ・ルールを有効または無効に変更したい場合 「ステータス」より選択 ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 76

Slide 76 text

Cloud Guard 応用編 また、レスポンダ・ルールでは、Cloud Guardで問題を検出した際、問題を自動修復することもできます。 問題を自動修復する為の設定は、「ターゲット」メニュー内にあるレスポンダ・レシピより編集します。 76 Copyright © 2025, Oracle and/or its affiliates レスポンダ・レシピの管理(6/10)~ レスポンダ・レシピの編集 ~ 2. クローンの保存先となる任意のコンパートメントを選択 1. 「ターゲット」をクリック 3. 編集したいレスポンダ・レシピが 管理されているターゲットをクリック 4. 「レスポンダ・レシピ」をクリック ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 77

Slide 77 text

Cloud Guard 応用編 該当のレスポンダ・レシピより、「Make Bucket Private」のレスポンダ・ルールを編集します。 77 Copyright © 2025, Oracle and/or its affiliates レスポンダ・レシピの管理(7/10)~ レスポンダ・レシピの編集 ~ 1. 該当のレスポンダ・レシピをクリック 2. 設定変更したいディテクタ・ルールより 3つの点をクリックして「編集」をクリック ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 78

Slide 78 text

Cloud Guard 応用編 Cloud Guardが問題を自動修復できる様に「必要なポリシー・ステートメント」および「設定」の項目を編集します。 以下の内容を設定することで、 パブリック・バケットが検出された場合、自動的にプライベート・ベケットへの設定変更を行います。 78 Copyright © 2025, Oracle and/or its affiliates レスポンダ・レシピの管理(8/10)~ レスポンダ・レシピの編集 ~ 1. 「ステートメントの追加」をクリック 【補足説明】: Cloud Guardが自動修復する際、該当リソースに対する設定変更を 行います。その為、ポリシーステートメントに表示さているポリシーの追加 が必要となります。 2. 「自動的に実行」を選択 「自動的な実行の確認」にチェック ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 79

Slide 79 text

Cloud Guard 応用編 自動修復のレスポンダ・ルールは、#2〜10が対象となります。 レスポンダ・ルールがどのディテクタ・ルールには対応するかは、ディテクタ・ルールの説明内に「関連付けられたレスポンダ」が表示され、かつ 関連するレスポンダ・ルール名も表示されます。自動修復の設定を行う際は、どのディテクタ・ルールで対応するのかを事前に確認ください。 79 Copyright © 2025, Oracle and/or its affiliates レスポンダ・レシピの管理(9/10)~ レスポンダ・レシピの編集における注意事項 ~ # レスポンダ・ルール レスポンダ・ルール(翻訳版) 1 Cloud Event クラウドイベント 2 Delete IAM Policy IAMポリシーを削除する 3 Delete Internet Gateway インターネットゲートウェイを削除する 4 Delete Public IP(s) パブリックIPを削除します 5 Disable IAM User IAMユーザーを無効にする 6 Enable DB Backup DBバックアップを有効にする 7 Make Bucket Private バケットをプライベートにする 8 Rotate Vault Key ボールトキーをローテーション 9 Stop Compute Instance コンピューティングインスタンスの停止 10 Terminate Compute Instance コンピューティングインスタンスを終了します 「Bucket is public」のディテクタ・レシピ 「User does not have MFA enabled」のディテクタ・レシピ 【自動修復の対象】 「Make Bucket Private」が関連付けられている 【自動修復の対象外】 「関連付けられたレスポンダ」の表記がない ※ 社内検証環境の為、コンパートメント名などは伏せています

Slide 80

Slide 80 text

Cloud Guard 応用編 レスポンダ・レシピの編集には、「レスポンダ・レシピ」メニューから編集 と 「ターゲット」メニュー内のレスポンダ・レシピから編集する2つの 方法があります。それぞれで編集できる内容が異なりますので、ご注意ください。 80 Copyright © 2025, Oracle and/or its affiliates レスポンダ・レシピの管理(10/10)~ レスポンダ・レシピの編集における注意事項 ~ 「レスポンダ・レシピ」メニューから編集 「ターゲット」メニュー内のレスポンダ・レシピから編集 「ポリシー・ステートメント」や「ルール・トリガー」を設定する場合 「ステータス」を変更する場合

Slide 81

Slide 81 text

No content