Cloud Guard 設定・操作ガイド 2023年8⽉31⽇ ⽇本オラクル株式会社 クラウド・エンジニアリング統括 COE本部 セキュリティ&マネージメント・ソリューション部

1. Cloud Guard 概要 2. Cloud Guard 設定⼿順 📌 前提条件と構成 📌 Cloud Guardの有効化 📌 通知とイベントの作成 3. Cloud Guard 検出結果と対応 📌 「推奨事項」ページからの対応 📌 「問題」ページからの対応 📌 「脅威モニタリング」ページからの対応 4. Cloud Guard 応⽤編 📌 ターゲットの管理 📌 ディテクタ・レシピの管理 📌 レスポンダ・レシピの管理 Agenda Copyright © 2023, Oracle and/or its affiliates. 2

クラウドの設定ミスによる情報漏洩を防⽌ サービス概要/特徴 • OCIで展開されているサービスの設定内容やOCIユーザー のアクティビティを監視することで安全なクラウド運⽤を実現 • 事前定義されたディテクタ・レシピに基づいて、セキュリティ インシデントに繋がる可能性があるセキュリティリスクを 可視化 • ディテクタ・レシピは定期的に更新され、新たなセキュリティ リスクにも対応 • 検出された問題はリスクレベルで評価し、テナント全体の 健全性をスコアリング ユース・ケース • テナント全体を監視対象とし、各リソースに脆弱な設定が ないか︖、ユーザーによる不正操作がないか︖を監視 • 現状のセキュリティリスクを可視化し、脆弱性な設定値の ⾒直しや操作プロセスなどの⾒直し • オブジェクト・ストレージからの情報漏洩を懸念して、設定値 がパブリックとなった際、検出から修復までを⾃動化 • セキュリティリスクの⾼い問題が検出された場合、管理者へ メール通知して迅速な対応を⾏う サービス価格 • 無償 Cloud Guard 概要 Copyright © 2023, Oracle and/or its affiliates. 3 Cloud Guard Vault Scannin g VCN, Load Balancer Compute, Storages Database s IAM 問題の検出 アクション実⾏ リスク評価

動作フロー Cloud Guard 概要 Copyright © 2023, Oracle and/or its affiliates. 4 Detectors Public Instance TOR log-in Public Bucket 監視対象となるリソースの設定や ユーザーアクテビティについて、事前 定義されたディテクタ・レシピに基づ いて問題を検出 Responders Stop Instance Suspend User Disable Bucket 検出された問題に関する通知 および対応⽅法を提供 Targets Problems リソースの設定やユーザーアクテビ ティにおいて、潜在的なセキュリティ の問題がある場合、リスクレベルを 分類して掲⽰ 監視対象とするコンパートメント （リソースの範囲）を設定。コン パートメントとその配下の構成が 監視対象。

検出ロジック Cloud Guard 概要 Copyright © 2023, Oracle and/or its affiliates. 5 事前定義されたディテクタ・レシピを基に監査ログより操作状況 および各リソースより設定状況を監視し、問題点を検出します。 ü ディテクタ・レシピは3種類 Ø 構成ディテクタ・レシピ Ø アクテイビティ・ディテクタ・レシピ Ø 脅威ディテクタ・レシピ ü 監視対象となるターゲットに対してディテクタ・レシピを設定 ü ディテクタ・レシピで定義された項⽬と実際の設定状況や 操作状況などを監視して、セキュリティリスクを可視化 監査ログ Compute Object Storage Networking etc 操作状況を監視 設定状況を監視 Cloud Guard Detectors 脅威 ディテクタ・レシピ 構成 ディテクタ・レシピ アクティビティ ディテクタ・レシピ

ディテクタ・レシピのクローン ü ディテクタ・レシピは、具体的な検出ルールを定義したルールセット Ø 構成ディテクタ・レシピ: オブジェクトストレージやVCNなどのOCIの各サービス設定に関する検出ルール Ø アクテイビティ・ディテクタ・レシピ: VCNのセキュリティルール変更やユーザーのグループ追加などのリソース操作に関する検出ルール Ø 脅威ディテクタ・レシピ︓ 不正操作の疑いがあるユーザーアカウントに関する検出ルール ü Oracleマネージドとして提供され、ルールの新規追加やアップデートは適宜実施 ü Oracleマネージドレシピをクローンすることで、ユーザー環境に合わせた設定（Enable/Disable）が可能 Cloud Guard 概要 Copyright © 2023, Oracle and/or its affiliates. 6 User Managed Recipe Oracle Managed Recipe クローンの作成 Bucket is public ENABLED HIGH KMS Key not rotated ENABLED MEDIUM Instance has public IP address ENABLED CRITICAL Bucket is public DISABLED HIGH KMS Key not rotated ENABLED HIGH Instance has public IP address ENABLED CRITICAL

構成ディテクタ・レシピ（⼀例） Cloud Guard 概要 Copyright © 2023, Oracle and/or its affiliates. 7 # ディテクタ・ルール ディテクタ・ルール（翻訳） リスク・レベル 1 Load balancer SSL certificate expiring soon ロードバランサのSSL証明書の期限切れが近づいています クリティカル 2 Bucket is public バケットがパブリックです クリティカル 3 Database version is not sanctioned データベースのバージョンが認可されていません クリティカル 4 Database System version is not sanctioned データベースシステムのバージョンが認可されていません クリティカル 5 Instance is publicly accessible インスタンスはパブリックにアクセスできます クリティカル 6 VCN Security list allows traffic to non-public port from all sources (0.0.0.0/0) VCNセキュリティリストで、すべてのソース（0.0.0.0/0）から⾮パブリックポートへのトラフィックが 許可されています クリティカル 7 VCN Security list allows traffic to restricted port VCNセキュリティリストで制限ポートへのトラフィックが許可されています クリティカル 8 Scanned host has open ports スキャンされたホストにオープンポートがあります クリティカル 9 Scanned host has vulnerabilities スキャンされたホストに脆弱性があります クリティカル 10 Database System is publicly accessible データベースシステムはパブリックにアクセスできます クリティカル 11 Database System has public IP address データベースシステムにパブリックIPアドレスがあります ⾼ 12 Database is not backed up automatically データベースが⾃動的にバックアップされません ⾼ 13 Instance has a public IP address インスタンスにパブリックIPアドレスがあります ⾼ 14 NSG ingress rule contains disallowed IP/port NSGイングレスルールに許可されていないIP/ポートが含まれます ⾼ 15 Load balancer allows weak SSL communication ロードバランサで強度の弱いSSL通信が許可されています ⾼ 16 Load Balancer has public IP address ロードバランサにパブリックIPアドレスがあります ⾼ 17 Data Safe is not enabled DataSafeが有効ではありません ⾼ 18 Database patch is not applied データベースパッチが適⽤されていません 中 19 Block Volume is not attached ブロックボリュームがアタッチされていません 中 20 Database system patch is not applied データベースシステムパッチが適⽤されていません 中 21 Instance is running without required Tags インスタンスが必須必タグなしで実⾏されています 中 22 Key has not been rotated キーがローテーションされていません 中 23 API key is too old APIキーが古すぎます 中 24 IAM group has too many members IAMグループのメンバーが多すぎます 中

アクティビティ ディテクタ・レシピ（⼀例） Cloud Guard 概要 Copyright © 2023, Oracle and/or its affiliates. 8 # ディテクタ・ルール ディテクタ・ルール（翻訳） リスク・レベル 1 Suspicious Ip Activity 疑わしいIPアクティビティ クリティカル 2 VCN Network Security Group Deleted VCNネットワークセキュリティグループが削除されました ⾼ 3 Instance terminated インスタンスが終了しました ⾼ 4 Database System terminated データベースシステムが終了しました ⾼ 5 Intermediate Certificate Authority (CA) revoked 中間認証局（CA）が取り消されました ⾼ 6 VCN Local Peering Gateway changed VCNローカルピアリングゲートウェイが変更されました 中 7 VCN Route Table changed VCNルート表が変更されました 中 8 VCN DHCP Option changed VCN DHCPオプションが変更されました 中 9 VCN Security List deleted VCNセキュリティリストが削除されました 中 10 VCN Internet Gateway created VCNインターネットゲートウェイが作成されました 中 11 VCN deleted VCNが削除されました 中 12 VCN Network Security Group ingress rule changed VCNネットワークセキュリティグループのイングレスルールが変更されました 中 13 VCN Network Security Group egress rule changed VCNネットワークセキュリティグループのエグレスルールが変更されました 中 14 VCN Security List ingress rules changed VCNセキュリティリストのイングレスルールが変更されました 中 15 VCN Security List egress rules changed VCNセキュリティリストのエグレスルールが変更されました 中 16 Certificate Authority (CA) deleted 認証局（CA）が削除されました 中 17 Subnet Changed サブネットが変更されました 低 18 Subnet deleted サブネットが削除されました 低 19 Update Image イメージの更新 低 20 VCN Security List created VCNセキュリティリストが作成されました 低 21 VCN Internet Gateway terminated VCNインターネットゲートウェイが終了しました 低 22 VCN created VCNが作成されました 低 23 Security policy modified セキュリティポリシーが変更されました 低 24 IAM User capabilities modified IAMユーザーの機能が変更されました 低

9 Copyright © 2023, Oracle and/or its affiliates. ※ https://attack.mitre.org/techniques/enterprise/ ディテクタ ルール ⼿法 ※ 説明 不正ユーザー 不可能な移動 （Impossible Travel） Initial Access Valid Accounts: Cloud Accounts (T1078.004) 悪意のあるクラウド・アカウントの資格証明を取得して不正使⽤し、制限されたリソースへの アクセスを提供できます。正当な資格証明の不正な使⽤を検出する⽅法の1つは、アクセ ス間の期間が短すぎて物理的に不可能になった場合に、異なる地理的な場所から同じア カウントによるアクセスを識別することです。 パスワード推測 （Password Guessing） Credential Access Password Guessing (T1110.001) 1⼈のユーザーに対する総当たり攻撃。正当な資格証明に関する知識がなくても、パスワー ドによってアカウントへのアクセスが試⾏される可能性があります。アカウントのパスワードがわ からない場合は、反復的なメカニズム、または⼀般的なパスワードのリストを使⽤して、パス ワードを体系的に推測できます。攻撃者の⾃動プロセスに、失敗した認証試⾏間の⼗分な 組み込み待機時間がある場合、アカウントのロックアウトは発⽣しません。 パスワードのスプレー （Password Spraying） Credential Access Password Spraying (T1110.003) 複数のユーザーに対して、正当な資格証明に関する知識がなくても、複数のユーザーに対 するブルート・フォース攻撃では、パスワードを使⽤してアカウントにアクセスを試みる可能性 があります。逆仕訳では、多数の異なるアカウントに対して⼀般的に使⽤されるパスワードの 単⼀または少数のリストを使⽤して、有効なアカウント資格証明の取得を試みることができ ます。ログインは多くの異なるアカウントに対して試⾏され、多数のパスワードを持つ1つのア カウントを強制的に実⾏するときに通常発⽣するロックアウトを回避します。 事前認証済リクエスト(PAR)の昇格数 （Elevated Number Of PARs） Exfiltration Exfiltration to Cloud Storage (T1567.002) 事前認証済リクエストの異常作成。事前認証済リクエストは、ユーザーが独⾃の資格証明 を持たないプライベート・バケットまたはオブジェクトにアクセスできるようにする⼿段を提供しま す。これにより、攻撃者はコマンドや制御チャネルを経由せずにデータを漏洩する可能性があ ります。 脅威ディテクタ・レシピ Cloud Guard 概要

10 Copyright © 2023, Oracle and/or its affiliates. ※ https://attack.mitre.org/techniques/enterprise/ ディテクタ ルール ⼿法 ※ 説明 不正ユーザー ⾼度なアクセス （Elevated Access） Privilege Escalation Valid Accounts: Cloud Accounts (T1078.004) 攻撃者は、初期アクセス、永続性、特権昇格または防御回避を利⽤して、クラウドアカウン トの資格情報を取得し、悪⽤する可能性があります。クラウドアカウントが悪⽤されると、攻 撃者はアカウント操作を実⾏して（例えば、追加のクラウドロールを追加することにより）、 永続性を維持し、特権にエスカレートする可能性があります。 減損防⽌ （Impair Defenses） Defense Evasion (TA0005) Impair Defenses: Disable or Modify Tools (T1562.001) 攻撃者は、マルウェア/ツールおよびアクティビティの検出を回避する為に、セキュリティツールを 変更および/または無効にすることができます。 これには、セキュリティソフトウェアプロセスや サービスの強制終了、レジストリキーや構成ファイルの変更/削除によるツールの正常な動作 の停⽌、セキュリティツールのスキャンや情報の報告を妨げるその他の⽅法など、さまざまな 形態があります。 永続性 （Persistence） Persistence (TA0003) Account Manipulation: Additional Cloud Credentials (T1098.001) 攻撃者が制御するクレデンシャルをクラウドアカウントに追加して、環境内の被害者のアカウ ントとインスタンスへの永続的なアクセスを維持できます。例えば、Azure ADの既存の正当 なクレデンシャルに加えて、サービスプリンシパルとアプリケーションのクレデンシャルを追加でき ます。 これらの資格情報には、x509キーとパスワードの両⽅が含まれます。 ⼗分なアクセ ス許可があれば、Azureポータル、Azureコマンドラインインターフェイス、AzureまたはAz PowerShellモジュールなど、さまざまな⽅法で資格情報を追加できます。 脅威ディテクタ・レシピ Cloud Guard 概要

レスポンダ・レシピ Cloud Guard 概要 Copyright © 2023, Oracle and/or its affiliates. 11 n Cloud Guardが検出した問題に対して、修正するアクション を決定 n 2種類のレスポンダで構成（右記の参照） Ø 【Notification】: 検出された問題をユーザーに送信 Ø 【Remediation】: 検出された問題に対して⾃動修正を実⾏ n レスポンダの実⾏した結果は、Auditイベントとして記録 # レスポンダ・ルール レスポンダ・ルール（翻訳版） 1 Cloud Event クラウドイベント 2 Delete IAM Policy IAMポリシーを削除する 3 Delete Internet Gateway インターネットゲートウェイを削除する 4 Delete Public IP(s) パブリックIPを削除します 5 Disable IAM User IAMユーザーを無効にする 6 Enable DB Backup DBバックアップを有効にする 7 Make Bucket Private バケットをプライベートにする 8 Rotate Vault Key ボールトキーをローテーション 9 Stop Compute Instance コンピューティングインスタンスの停⽌ 10 Terminate Compute Instance コンピューティングインスタンスを終了します 参照︓ 「Bucket is public」のディテクタ・レシピ Responder Recipe

検出した問題に対するライフサイクル Cloud Guard 概要 Copyright © 2023, Oracle and/or its affiliates. 12 ü 検出した問題は、以下の⽅法より対応 Ø 【修正】︓ Cloud Guardのレスポンダを使⽤して対応 Ø 【解決済みとしてマーク】︓ 担当者が⼿動で対応 Ø 【終了】︓ 終了済みとして問題をクローズ※ 意図的に設定している場合 ü 問題を再度検出した場合︓ Ø 未解決の問題は、問題の履歴が更新される Ø 以前に「解決済みとしてマーク」した問題は、問題として再度 オープンされ、履歴が更新される Ø 以前に「終了」した問題は、問題として再度オープンされずに履歴 が更新される ü 問題への対応は、セキュリティスコアに反映される Finding Open Resolved Dismissed Dismissed problem updated finding, but not re-opened Resolved problem reopened from finding New finding Marked resolved or rem ediated by responder Marked dism issed

13 Copyright © 2023, Oracle and/or its affiliates. 検出された問題 Cloud Guardダッシュボード Cloud Guard 概要 検出結果のイメージ

問題の検出から修正までの流れ Copyright © 2023, Oracle and/or its affiliates 14 Cloud Guard 概要 ディテクター 検出ルールのトリガーとして、“バケットがパブリックに設定変更”された際に 問題として認識（重⼤度︓クリティカル） “バケットがパブリック” (重⼤度︓クリティカル) プロブレム 「クラウドイベント」は有効か? => Yes レスポンダー Cloud Guard オペレーター 問題を修正するか︖ => Yes レスポンダー レスポンダがバケットをプライ ベートに設定変更 重⼤なリスク ユーザーがバケットを パブリックに設定 バケット OCI Events OCI Functions OCI Notifications 「バケットをプライベートにする」が有効か︖ => Yes バケット

オブジェクト・ストレージのプライベート設定をパブリック設定に変更されることで重要データの漏えいに繋がる可能性がある為、操作ミス や不正操作などによるオブジェクト・ストレージにの設定変更を検出し、且つ⾃動修復（パブリックからプライベートへの設定変更） までを実施することでリスクを抑⽌する。 【補⾜】︓ ⾃動修復を設定していない場合 問題 → ステータスで「オープン」を選択すると、“Bucket is public” が検出結果として表⽰される。 検出のみの場合 検出＋⾃動修復の場合 【補⾜】︓ ⾃動修復を設定している場合 問題 → ステータスで「解決済」を選択すると、“Bucket is public” が対応結果として表⽰される。（Cloud Guardが⾃動修復した為 「オープン」に検出結果は表⽰されない） 15 Copyright © 2023, Oracle and/or its affiliates. オブジェクトストレージがパブリックに設定変更された場合の検出（例） Cloud Guard 概要

16 OCIのリソースに対するアクセス権を得て、破壊⽬的でそれらリソースを使⽤する試みおよびその可能性を⽰しているアクティビティの パターンを検出します。 リスク・スコアが “80” を超えると、Cloud Guardの問題として警告されます。 Copyright © 2023, Oracle and/or its affiliates. 監視対象となるコンパートメントにおいて、不正操作 の疑いがあるユーザーアカウントの⼀覧を表⽰。 該当のユーザーアカウントにおける脅威モニタリング 状況を「観察」、「影響を受けるリソース」、「エンドポイ ント」 の観点で表⽰。 【観察】 ディテクタルールに基づいた操作 状況を分析およびスコアリング した結果を表⽰します。 【影響を受けるリソース】 不 正 操 作 の 疑 い が あ る 関 連 リソースの情報が表⽰されます。 【エンドポイント】 リソースへのアクセス元となるIP アドレスが表⽰されます。 脅威モニタリング Cloud Guard 概要

Events & Notificationsとの連携 Copyright © 2023, Oracle and/or its affiliates. 17 Cloud Guard 概要 Applies to Target Detector Recipe Problem Rule Responder Recipe Cloud Event (Notification) OCI Events Service OCI Functions Notifications: Email Bare Metal Compute Object Storage Block Storage Buckets Database System Make bucket private

18 Copyright © 2023, Oracle and/or its affiliates. オラクルで事前定義した“構成のディテクタ・ルール”に基づき、リソースの設定状況を調査します。ディテクタ・ルールに該当する設定値が ある場合、脆弱な設定状態として検出されます。 【監視のメリット】 📌 設定内容に問題があるかを調査することで、脆弱な設定が悪⽤される前に修正することができる 📌 全ての問題に対して調査することで設定の不備が改善し、セキュリティベースラインが向上へと繋がる 脆弱な設定状態として検出された内容は、「問題」 に⼀覧表⽰。 リスク・レベルなどを参考に対応の優先順位を検討し、 検出されている設定内容の問題を調査。 上記問題（VCN Securitylist allows traffic to restricted port）の場合、VCNのセキュリティリスト に不要なポートが許可されている為、許可する必要が あるかを再検討。 問題があるVCNセキュリティリストを 確認し、許可する必要のないポート を⾒直し、必要に応じてセキュリティ リストを修正する。 左図の設定は、OCIを試験運⽤する 為に全ポートに対してアクセスを許可。 この状態は外部から容易に攻撃され 易い為、早期対応が必要。 設定内容を修正後、当該問題の 画⾯に戻り、該当する対応（修正、 解決済みとしてマーク、終了）を選択 する。 監視例①︓ 設定状況を監視 Cloud Guard 概要

19 Copyright © 2023, Oracle and/or its affiliates. オラクルで事前定義した“アクティビティのディテクタ・ルール”に基づき、リソースの操作内容を調査します。ディテクタ・ルールに該当する 操作が⾏われた場合、問題のある操作として検出されます。 【監視のメリット】 📌 操作内容が予定されたものであるかを調査することで、不正利⽤への対策および監視強化を⾏うことができる 📌 全ての操作内容に対して調査・対応することで、情報漏洩などに繋がるセキュリティインシデントを抑⽌できる ディテクタ・ルールに該当するリソースの操作（作成、 修正、削除、停⽌、等）が⾏われた場合、問題の ある操作として「問題」 に⼀覧表⽰。 該当のVCNセキュリティリストが不正に 変更されていないかを確認し、必要に 応じてセキュリティリストを修正する。 不正操作が疑われる場合、ユーザー に関する調査も⾏う。 アクセス制御に不備があると不正侵⼊ される可能性が⾼くなる為、早期対応 が必要。 リスク・レベルなどを参考に対応の優先順位を検討し、 検出されている設定内容の問題を調査。 上記問題（VCN Security List ingress rules changed）の場合、VCNのセキュリティリストのイング レスルール（内部への通信）が変更された為、当該 操作が予定されたものかを確認。 適正な操作であったかを確認し、設定 内容を修正後、当該問題の 画⾯ に戻り、該当する対応（修正、解決 済みとしてマーク、終了）を選択する。 監視例②︓ 操作状況を監視 Cloud Guard 概要

20 オラクルで事前定義した“脅威のディテクタ・ルール”に基づき、OCIのリソースに対して「破壊⽬的での使⽤」 や 「その可能性を⽰してい るアクティビティ」などのパターンを分析し、疑わしい振る舞いのユーザーアカウントを検出。 Copyright © 2023, Oracle and/or its affiliates. 監視対象となるコンパートメントにおいて、不正操作 の疑いがあるユーザーアカウントの⼀覧を表⽰。 該当のユーザーアカウントにおける脅威モニタリング 状況を「観察」、「影響を受けるリソース」、「エンドポイ ント」 の観点で表⽰。 【観察】 ディテクタ・ルールに基づいた操作 状況を分析およびスコアリングし た結果を表⽰します。 検出されたユーザーの振る舞いに ついて確認します。 【影響を受けるリソース】 不 正 操 作 の 疑 い が あ る 関 連 リソースの情報が表⽰されます。 予定のないリソースへのアクセス があるかを確認します。 【エンドポイント】 リソースへのアクセス元となるIP アドレスが表⽰されます。 通常とは異なるIPアドレスからの アクセスであるかを確認します。 【監視のメリット】 📌 検出されたユーザーが不正利⽤されていないかを調査することで、ユーザーに対する 迅速な処置ができる。 【例】︓ ユーザーの“停⽌” または “削除”、等 📌 振る舞いを監視することでユーザーアカウントの乗っ取りなどを把握できる 監視例③︓ ユーザーアカウントの利⽤状況を監視 Cloud Guard 概要

1. Cloud Guard 概要 2. Cloud Guard 設定⼿順 📌 前提条件と構成 📌 Cloud Guardの有効化 📌 通知とイベントの作成 3. Cloud Guard 検出結果と対応 📌 「推奨事項」ページからの対応 📌 「問題」ページからの対応 📌 「脅威モニタリング」ページからの対応 4. Cloud Guard 応⽤編 📌 ターゲットの管理 📌 ディテクタ・レシピの管理 📌 レスポンダ・レシピの管理 Agenda Copyright © 2023, Oracle and/or its affiliates. 21

前提条件と構成 Cloud Guard 設定⼿順 Copyright © 2023, Oracle and/or its affiliates. 22 前提条件︓ ü Administratorグループに所属するユーザー（OCI管理者）で実施 ü ルート・コンパートメント（全てのリソース）を対象にCloud Guardの設定および監視 ü オラクルが提供するディテクタ・レシピおよびレスポンダ・レシピを利⽤ ü OCIコンソールの⾔語設定を「⽇本語」に設定 参考⽂献︓ https://docs.oracle.com/ja-jp/iaas/cloud-guard/home.htm（⽇本語サイト） Tenancy（Tokyo DC） VCN Compute Compartment（Target） システム構成（例）︓ Object Storage Cloud Guard Database Buckets Block Storage

参考︓ Cloud Guard⽤のグループ作成およびユーザーの追加 Administratorグループに所属しないユーザーがCloud Guardを利⽤する場合、 Cloud Guardを管理する為のグループを作成 および管理対象ユーザーを追加します。 1. テナンシ管理者としてOracle Cloud Infrastructureコンソールにログインします。 2. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「グループ」をクリックします。 3. 「グループの作成」をクリックします。 4. 必要なフィールドに⼊⼒し、「作成」をクリックします。 5. 作成したグループにCloud Guard⽤のユーザーを追加します。 参照︓ https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/prerequisites.htm Cloud Guard 設定⼿順 Copyright © 2023, Oracle and/or its affiliates. 23

Cloud Guardを利⽤する為の設定を⾏います。 1. 「アイデンティティとセキュリティ」 をクリック 2. 「クラウド・ガード」をクリック 3. 「クラウド・ガードの有効化」を クリック Copyright © 2023, Oracle and/or its affiliates. 24 Cloud Guardの有効化 Cloud Guard 設定⼿順

Cloud Guardの有効化 Cloud Guardの全機能を利⽤する為のポリシーを作成します。 Cloud Guard 設定⼿順 Copyright © 2023, Oracle and/or its affiliates. 25 1. 「ポリシーの作成」をクリック 2. CloudGuardPoliciesの名称でポリシーが 追加されたことを確認し、「次」をクリック

Cloud Guardに関する基本情報（レポート・リージョン、監視対象コンパートメント、ディテクタ・レシピ）を選択し、有効化を⾏います。 1. 検出された結果を管理する 「レポート・リージョン」を選択 【補⾜説明】︓ Cloud Guardを有効化した後にレポート・リージョンの変更はできません。 レポート・リージョンを変更する場合、Cloud Guardの無効化が必要に なる事をご留意してください。 2. ルートコンパートメント（全てのリソース）を 監視対象とする為、「全て」を選択 該当のコンパートメントを選択する場合、「コンパートメント の選択」より対象コンパートメントを選択 Cloud Guardの有効化 Cloud Guard 設定⼿順 Copyright © 2023, Oracle and/or its affiliates. 26 3. 各ディテクタ・レシピを以下の様に選択 【構成】︓ OCI Configuration Detector Recipe（Oracle管理） 【アクティビティ】︓ OCI Activity Detector Recipe（Oracle管理） 【脅威】︓ OCI Threat Detector Recipe （Oracle管理） 4. 「有効化」をクリック

Cloud Guardが有効化された事を確認します。 Cloud Guardの有効化 Cloud Guard 設定⼿順 Copyright © 2023, Oracle and/or its affiliates. 27

28 Copyright © 2023, Oracle and/or its affiliates. Cloud Guardが有効化されると、現状のセキュリティリスク（概要、問題などの項⽬）が表⽰されます。 【セキュリティ・スコア】 過去30⽇間の監視結果を基に、システムの 保護状態に関する評価が表⽰されます。セキュ リティ・スコアが⾼いほど優れており、100のセキュ リティ・スコアはどのリソースに 対しても問題が検出されな かったことを意味します。 【リスクのスコア】 問題の数と重⼤度に関連します。多くのリソースを持つ組織では、多くの 問題が検出する可能性が⾼く、リスク・スコアも⾼くなります。 多くのリソースがある場合、セキュリティ・スコアが優れていてもリスク・スコア は⾼くなる可能性があります。 【セキュリティ推奨】 セキュリティとリスクのスコアを改善する為の推奨事項です。 Cloud Guardが検出した最も優先度の⾼い問題を迅速に特定して 解決します。 Cloud Guardの有効化 【問題のスナップショット】 重⼤度レベル別に問題を表⽰し、ドリルダウン して「問題」ページの各重⼤度レベルから問題の リストを参照します。 【問題】 コンパートメント、リージョンまたはリソース・タイプ別 に問題を表⽰し、ドリルダウンして「問題」ページに リストされた問題名から参照します。 【ユーザー・アクティビティの問題】 ソースIPアドレスに基づいて、ユーザー・アクティ ビティの地理的起点を⽰すマップを表⽰します。 【レスポンダ・ステータス】 Cloud Guardのレスポンダを介して、実⾏された 最近の修正を確認します。 Cloud Guard 設定⼿順

Cloud Guardは、ベースラインアプローチによるリソースの設定状況や操作内容などについて監査します。セキュリティ要件・基準を明確 化し、要件・基準に応じたセキュリティ運⽤を⾏うことでセキュリティレベルの向上を実現します。 29 Copyright © 2023, Oracle and/or its affiliates. Cloud Guard 設定⼿順 Cloud Guardの有効的な利⽤⽅法 設定・操作状況 の確認 PDCA Plan Do Action Check 監査したいポリシー を選択 クラウドセキュリティ要件・基準の定義 Cloud Guardの監査ポリシーを設定・実⾏ Cloud Guardの監査結果を確認 各種リソースの設定値を⾒直し n アカウント管理 n ログの監査 n データの暗号化 n 脆弱性管理（パッチ適⽤） ・ ・ クラウドセキュリティ要件・基準 OCIドキュメント VCN Compute Object Storage IAM Policy

Cloud Guardで検出された問題をOCIの「通知」および「イベント」機能を利⽤して管理者へメール通知します。 先ずは、Cloud Guardの「ターゲット」に設定されている「レスポンダ・レシピ」の設定を確認します。 ※ 管理者へのメール通知が不要な場合、本⼿順はスキップしてください 通知とイベントの作成（オプション） Cloud Guard 設定⼿順 Copyright © 2023, Oracle and/or its affiliates. 30 ※ 社内検証環境の為、コンパートメント名などは伏せております 2. 該当のターゲット名をクリック 3. OCI Responder Recipe（Oracle管理） をクリック 1. 監視対象コンパートメントを選択

Cloud Eventのステータスが「有効」、且つルール・トリガーが「⾃動的に実装」の設定であることを確認します。 設定を変更されている場合は、以下に設定値に合わせてください。 Copyright © 2023, Oracle and/or its affiliates. 31 【補⾜説明】︓ デフォルトの状態は以下の通りです。 【ステータス】︓ 有効 / 【ルール・トリガー】︓ ⾃動的に実装 通知とイベントの作成（オプション） Cloud Guard 設定⼿順 1. Cloud Eventより3つの点をクリックして 「編集」をクリック ※ 社内検証環境の為、コンパートメント名などは伏せております

次に、「通知」よりメールの通知先を設定します。 通知とイベントの作成（オプション） Cloud Guard 設定⼿順 Copyright © 2023, Oracle and/or its affiliates. 32 1. 「開発者サービス」をクリック 2. 「通知」をクリック 3. 監視対象コンパートメントを選択 4. 「トピックの作成」をクリック ※ 社内検証環境の為、コンパートメント名などは伏せております

通知とイベントの作成（オプション） トピックの作成画⾯にて、通知に関する情報を記⼊します。 Cloud Guard 設定⼿順 Copyright © 2023, Oracle and/or its affiliates. 33 1. 任意の名前と説明を⼊⼒ 2. 「作成」をクリック

作成したトピックの詳細画⾯より「サブスクリプション」を作成します。 通知とイベントの作成（オプション） Cloud Guard 設定⼿順 Copyright © 2023, Oracle and/or its affiliates. 34 2. 「サブスクリプションの作成」をクリック 3. 電⼦メールを選択 4. 通知先の「メールアドレス」を⼊⼒ 5. 「作成」をクリック 1. 監視対象コンパートメントを選択 ※ 社内検証環境の為、コンパートメント名などは伏せております

作成したサブスクリプションの詳細画⾯を確認します。 その後、通知先のメールアドレスに「OCI通知サービスのサブスクリプション」に関する確認メールが届きますので、内容を確認します。 Copyright © 2023, Oracle and/or its affiliates. 35 1. 「Pending Confirmation」と表⽰ 2. 「Confirm subscription」をクリック 3. Subscription confirmedのページが ブラウザの表⽰ 通知とイベントの作成（オプション） Cloud Guard 設定⼿順 ※ 社内検証環境の為、コンパートメント名などは伏せております

「サブスクリプション」が作成されたことを確認します。 以上で、通知先のメールアドレスの設定が完了となります。 通知とイベントの作成（オプション） Cloud Guard 設定⼿順 Copyright © 2023, Oracle and/or its affiliates. 36 2. 通知先のメールアドレスが表⽰ 1. 監視対象コンパートメントを選択 ※ 社内検証環境の為、コンパートメント名などは伏せております

最後に、「イベント」よりCloud Guardで検出された問題を通知先のメールアドレスに送信する設定を⾏います。 1. 「監視および管理」をクリック 2. 「イベント・サービス」をクリック 通知とイベントの作成（オプション） Cloud Guard 設定⼿順 Copyright © 2023, Oracle and/or its affiliates. 37 3. 監視対象コンパートメントを選択 4. 「ルールの作成」をクリック ※ 社内検証環境の為、コンパートメント名などは伏せております

ルールの作成画⾯にて、Cloud Guardで検出された問題を通知先のメールアドレスに送信できる様、「ルール条件」と「アクション」を 定義します。 1. 任意の名前と説明を⼊⼒ 2. ルール条件で以下を設定 【条件】︓ イベントタイプ 【サービス名】︓ Cloud Guard 【イベント・タイプ】︓ Detected -Problem 3. アクションで以下を設定 【アクション・タイプ】︓ 通知 【通知コンパートメント】︓ 監視対象コンパートメント 【トピック】︓ P.35で作成したトピック名 通知とイベントの作成（オプション） Cloud Guard 設定⼿順 Copyright © 2023, Oracle and/or its affiliates. 38 4. 「ルールの作成」をクリック 【補⾜説明】︓ Cloud Guardのイベント・タイプは、検出された問題以外もあります。 詳しくは、以下のサイトを参照してください。 https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/export-notifs- config.htm#export-notifs-events ※ 社内検証環境の為、コンパートメント名などは伏せております

「イベントのルール」が作成されたことを確認します。 以上で、イベントの設定が完了となります。Cloud Guardで問題を検出すると通知先のメールアドレスにメールが送信されます。 Copyright © 2023, Oracle and/or its affiliates. 39 1. 監視対象コンパートメントを選択 2. 作成されたルールをクリック 2. 「Detected -Problem」のイベントが 追加されたことを確認 通知とイベントの作成（オプション） Cloud Guard 設定⼿順 メールを受信 【補⾜説明】︓ 検出される問題が多い場合、⼤量のメールを受信することになる為、 通知とイベントに関しては、運⽤⾯を鑑みて設定することを推奨します。 ※ 社内検証環境の為、コンパートメント名などは伏せております

1. Cloud Guard 概要 2. Cloud Guard 設定⼿順 📌 前提条件と構成 📌 Cloud Guardの有効化 📌 通知とイベントの作成 3. Cloud Guard 検出結果と対応 📌 「推奨事項」ページからの対応 📌 「問題」ページからの対応 📌 「脅威モニタリング」ページからの対応 4. Cloud Guard 応⽤編 📌 ターゲットの管理 📌 ディテクタ・レシピの管理 📌 レスポンダ・レシピの管理 Agenda Copyright © 2023, Oracle and/or its affiliates. 40

検出されたセキュリティの問題に対応する為、Cloud Guardではコンポーネントを提供しております。各コンポーネントを⽤いて検出された 問題を把握し、効率的に対応することでセキュリティレベルの向上へと繋げます。 【推奨事項】ページ︓ セキュリティリスクの⾼い上位10件の問題が 表⽰されます 【問題】ページ︓ リスク・レベル問わず、検出された問題が⼀覧 表⽰されます 【脅威モニタリング】ページ︓ ユーザーアカウントによる不正操作の疑いが あるアクティビティについて表⽰されます Cloud Guardのトップ画⾯（概要ページ） 41 Copyright © 2023, Oracle and/or its affiliates. Cloud Guard 応⽤編 検出された問題の⾒⽅

Cloud Guardを初めて利⽤される⽅やどの問題から対応したら良いか分からない場合、「推奨事項」で表⽰される最もクリティカルな 問題（上位10件）から対応してください。不正利⽤などに繋がる可能性がある設定内容を効率的に是正することができます。 Cloud Guard 検出結果と対応 Copyright © 2023, Oracle and/or its affiliates. 42 「推奨事項」ページからの対応 1. 「推奨事項」をクリック 2. 監視対象とするコンパートメントを選択 3. 該当の推奨事項より3つの点をクリックし て「問題の表⽰」をクリック 例︓ 「Bucket is public」を選択 【補⾜説明】︓ 該当の問題に関するフィルタが設定された状態で「問題」ページに 遷移します。 問題に関するフィルタが設定 例︓ 問題名= Bucket is public、ターゲット=該当のターゲット名 4. 該当の問題名をクリック ※ 社内検証環境の為、コンパートメント名などは伏せております

「推奨」に記載されている内容を確認し、該当リソースに対して⼿動で設定値を修正します。 以下、「Bucket is public」に関する問題への対応⽅法となります。 2. 推奨に記載されている内容を確認 【補⾜説明】︓ 推奨に記載される内容は英語表記となる為、必要に応じて翻訳 ツールなどを利⽤してください。 1. 該当リソースなどを確認 Cloud Guard 検出結果と対応 Copyright © 2023, Oracle and/or its affiliates. 43 「推奨事項」ページからの対応 ※ 社内検証環境の為、コンパートメント名などは伏せております

「ストレージ」 → 「オブジェクト・ストレージとアーカイブ・ストレージ」より、該当バケットの「可視性」をパブリックからプライベートに変更します。 1. 該当コンパートメントを選択 2. 該当バケットをクリック 3. 「可視性の編集」をクリック Cloud Guard 検出結果と対応 Copyright © 2023, Oracle and/or its affiliates. 44 「推奨事項」ページからの対応 ※ 社内検証環境の為、コンパートメント名などは伏せております

該当バケットの「可視性」をパブリックからプライベートに変更します。 1. 「プライベート」を選択 2. 「変更の保存」をクリック Cloud Guard 検出結果と対応 Copyright © 2023, Oracle and/or its affiliates. 45 「推奨事項」ページからの対応 ※ 社内検証環境の為、コンパートメント名などは伏せております

該当バケットの「可視性」がプライベートに変更されたことを確認します。 1. プライベートに変更されたことを確認 2. こちらの画⾯でもプライベートに 変更されたことを確認 Cloud Guard 検出結果と対応 Copyright © 2023, Oracle and/or its affiliates. 46 「推奨事項」ページからの対応 ※ 社内検証環境の為、コンパートメント名などは伏せております

設定内容を修正後、P.44の問題画⾯へと戻り、問題に対する該当のアクション（「解決済みとしてマーク」）を選択します。 今回は、⼿動で設定値を修正した為、「解決済みとしてマーク」の選択となります。 1. 「解決済みとしてマーク」をクリック 2. 任意のコメントを⼊⼒ 3. 「解決済みとしてマーク」をクリック Cloud Guard 検出結果と対応 Copyright © 2023, Oracle and/or its affiliates. 47 「推奨事項」ページからの対応 ※ 社内検証環境の為、コンパートメント名などは伏せております

「Bucket is public」に関する問題が解決されたことを確認します。 以上で、問題への対応が完了となります。他の検出されている問題でも同じような流れで対応ください。 2. 「問題」をクリック 1. 「解決済」に変更されたことを確認 Cloud Guard 検出結果と対応 Copyright © 2023, Oracle and/or its affiliates. 48 「推奨事項」ページからの対応 4. ステータスで「解決済」を選択 5. 該当バケットの問題がリストにある ことを確認 3. 該当コンパートメントを選択 ※ 社内検証環境の為、コンパートメント名などは伏せております

Copyright © 2023, Oracle and/or its affiliates. 49 問題に対するアクションの実⾏は、3つの種類（「修正」、「解決済みとしてマーク」、「終了」）があります。 それぞれの特徴およびURLを以下に記載しておりますので、どのアクションを選択するかの参考にしてください。 修正 「修正」をクリックすることで、Cloud Guardのレスポンダを使⽤してアクションを実⾏します。但し、 レスポンダで対応できない問題もあり、その場合は「修正」ボタンがグレーアウトされています。また、 将来発⽣する同じ問題に対しても同じレスポンダを実⾏してCloud Guardで⾃動解決します。 担当者を介さずにCloud Guardで⾃動解決する為、「ディテクタ・レシピ」および「レスポンダ・ レシピ」に関する知⾒のある⽅向けのアクションとなります。 解決済みとしてマーク 担当者が⼿動で任意のアクションを該当リソースで実⾏します。その後、「解決済みとしてマーク」を クリックして、修正した該当問題を解決済みにします。 Cloud Guardに関する知⾒が浅い⽅など向けのアクションとなります。（推奨） 終了 「終了」をクリックして問題をクローズします。検出された問題の対応を必要としない場合または同じ 問題を再度検出する必要がない場合などに選択します。 次回以降、同じ問題が検出されなくなる為、セキュリティリスクを鑑みたうえで選択してください。 Cloud Guard 検出結果と対応 「推奨事項」ページからの対応 〜 問題に対するアクションの注意事項 〜 【参照】︓ https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/problems-page.htm ※ 社内検証環境の為、コンパートメント名などは伏せております

検出されたセキュリティの問題を⼀覧で把握したうえで、特定の問題に対応したい場合などは「問題」ページへアクセスしてください。 ソート・フィルタ機能を活⽤することで検出された問題を精査し、効率的に対応することができます。 「問題」ページからの対応 〜 問題を検索する際のソート・フィルタ機能 〜 Cloud Guard 検出結果と対応 Copyright © 2023, Oracle and/or its affiliates. 50 【ステータス】 検出された問題のステータスを 選択します。 • オープン︓問題が未処理 • 修正︓レスポンダにて修正済 • 解決︓⼿動などで修正済 • 終了︓処理ぜずにクローズ済 • 削除済︓関連ターゲットが削除 【リソース・タイプ】 検出された問題をリソース・タイプ 別に表⽰します。特定リソースの 問題を把握・対応する場合など にに利⽤します。 【検出された時間】 検出された問題を特定の⽇付 範囲で表⽰します。デフォルトは 最後に検出された過去30⽇間 の問題が表⽰されます。 【フィルタ】 検出された問題をカテゴリ別に 表⽰します。「リスク・レベル」や 「ディテクタ・タイプ」などで分類し、 リスクの⾼い問題を把握・対応 する場合などにに利⽤します。 【ソート】 「リスク・レベル」、「リソース」、「前回の検出」のカラムで、▲▼印をクリック することでソートされ、簡単に並び替えができます。 ※ 社内検証環境の為、コンパートメント名などは伏せております

検出されたセキュリティの問題を⼀覧で確認します。 必要に応じて、前項で説明したフィルタ機能などを利⽤して問題を精査します。以下、「ディテクタ・タイプ= 構成」でフィルタします。 3. 「フィルタ」より「ディテクタ・タイプ= 構成」を選択 1. 「問題」をクリック 2. 監視対象とするコンパートメントを選択 Copyright © 2023, Oracle and/or its affiliates. 51 4. 「ディテクタ・タイプが「構成」に 絞り込まれたことを確認 「問題」ページからの対応 Cloud Guard 検出結果と対応 ※ 社内検証環境の為、コンパートメント名などは伏せております

また、リスク・レベルの⾼い問題から対応する場合、フィルタ機能に加え「リスク・レベル」でソートします。 リスク・レベルの⾼い問題は不正利⽤などに繋がる可能性がある為、早めに問題を把握し、対応することを推奨します。 1. 「リスク・レベル」のカラムで、▲▼印をクリックし、 レベルの⾼い順に並び替え 2. 該当の問題名をクリック 「問題」ページからの対応 Cloud Guard 検出結果と対応 Copyright © 2023, Oracle and/or its affiliates. 52 ※ 社内検証環境の為、コンパートメント名などは伏せております

「推奨」に記載されている内容を確認し、該当リソースに対して⼿動で設定値を修正します。 以下、「VCN Security list allows traffic to restricted port」に関する問題への対応⽅法となります。 Copyright © 2023, Oracle and/or its affiliates. 53 2. 推奨に記載されている内容を確認 【補⾜説明】︓ 推奨に記載される内容は英語表記となる為、必要に応じて翻訳 ツールなどを利⽤してください。 1. 該当リソースなどを確認 3. 現在、VCNのセキュリティリストでオープン しているTCP/UCPポート番号を確認 「問題」ページからの対応 Cloud Guard 検出結果と対応 ※ 社内検証環境の為、コンパートメント名などは伏せております

「ネットワーキング」 → 「仮想クラウド・ネットワーク」 → 「該当コンパート」 → 「該当VCN」 → 「該当セキュリティ・リスト」で設定されて いるイングレス・ルールを⾒直します。 1. 「イングレス・ルール」をクリック 2. 「宛先ポート範囲」を確認 Copyright © 2023, Oracle and/or its affiliates. 54 3. 各レシピより3つの点をクリックして 「編集」または「削除」をクリック 【補⾜説明】︓ 検出されたポートがこのセキュリティ・リストのイングレス・ルールでオープンする必要が あるかを確認し、開く必要がない場合は閉じます。または、ユーザー環境で使⽤して いるポートを監査対象外とする場合、構成ディテクタ・レシピを編集することで問題 として検出されなくなります。 編集⽅法については、P.80 「構成ディテクタ・レシピの編集」を参照してください。 「問題」ページからの対応 Cloud Guard 検出結果と対応 ※ 社内検証環境の為、コンパートメント名などは伏せております

イングレス・ルールを修正後、P.54の問題画⾯へと戻り、問題に対する該当のアクション（「解決済みとしてマーク」）を選択します。 今回は、イングレス・ルールを編集または削除したと事とし、「解決済みとしてマーク」の選択となります。 1. 「解決済みとしてマーク」をクリック 2. 任意のコメントを⼊⼒ 3. 「解決済みとしてマーク」をクリック Cloud Guard 検出結果と対応 Copyright © 2023, Oracle and/or its affiliates. 55 「問題」ページからの対応 【補⾜説明】︓ 問題の検出を監視対象外とする場合、「終了」をクリックします。 「修正」に関する内容については、P.50 「問題に対するアクションの注意事項」 を参照してください。 ※ 社内検証環境の為、コンパートメント名などは伏せております

「VCN Security list allows traffic to restricted port」に関する問題が解決されたことを確認します。 以上で、問題への対応が完了となります。他の検出されている問題でも同じような流れで対応ください。 2. 「問題」をクリック 4. ステータスで「解決済」を選択 1. 「解決済」に変更されたことを確認 5. 該当VCNセキュリティ・リストの問題が リストにあることを確認 Cloud Guard 検出結果と対応 Copyright © 2023, Oracle and/or its affiliates. 56 「問題」ページからの対応 3. 該当コンパートメントを選択 ※ 社内検証環境の為、コンパートメント名などは伏せております

リソースに対して「破壊⽬的での使⽤」や「その可能性を⽰しているアクティビティ」などのパターンを分析し、ユーザーアクティビティに関する リスク・スコアが表⽰されます。ユーザーアカウントの不正利⽤を調査したい場合などは、「脅威モニタリング」ページへアクセスしてください。 「脅威モニタリング」ページからの対応 Cloud Guard 検出結果と対応 Copyright © 2023, Oracle and/or its affiliates. 57 1. 「脅威モニタリング」をクリック 2. ルート・コンパートメントを選択 【補⾜説明】︓ リスク・スコアは、過去14⽇間の最⾼リスク・スコアに基づいて割り当て られます。また、リスク・スコアが閾値（80）を超えると問題として識別 され、「問題」ページに脅威ディテクタ・タイプとして表⽰されます。 3. 上部のチャートや「リスクのスコア」を 参考に調査するユーザーをクリック 表⽰されるチャートの表⽰を選択します。 デフォルトでは、過去30⽇間に上位10の リスク・スコアが表⽰されます。 リスク・スコアを基に、不正操作の疑いがある ユーザーアカウントを絞り込みます。リスク・スコアが ⾼い程、ユーザーアカウントが乗っ取られている 可能性がある為、リスク・スコアの⾼いユーザー アカウントから調査することを推奨します。 ※ 社内検証環境の為、コンパートメント名などは伏せております

該当のユーザーアカウントにおける脅威モニタリング状況を「観察」、「影響を受けるリソース」、「エンドポイント」の観点で表⽰します。 各観点での調査より、不正操作の疑いやユーザーアカウントが乗っ取られていないかを確認します。 「脅威モニタリング」ページからの対応 Cloud Guard 検出結果と対応 Copyright © 2023, Oracle and/or its affiliates. 58 【観察】 ディテクタ・ルールに基づいた操作状況を分析およびスコアリングした結果 を表⽰します。スコアリングでは攻撃を⽰す可能性と攻撃における深刻度 で評価されます。 【影響を受けるリソース】 不正操作された疑いがある関連リソースの情報が表⽰されます。 【エンドポイント】 リソースへのアクセス元となるIPアドレスが表⽰されます。 ※ 社内検証環境の為、コンパートメント名などは伏せております

ディテクタ・ルールに基づいた操作状況を分析およびスコアリング（重⼤度と信頼の評価を他の要因と組み合せて観察スコアを数値化） します。検出されたユーザーアカウントの振る舞いについて確認し、予定されたリソースへの操作内容であるかを調査します。 1. 「概要」をクリック 2. 疑わしい観察タイプをクリック 【補⾜説明】 「観察タイプ」および「重⼤度、信頼、観察スコア」を参考に疑わしい操作内容の詳細を 確認します。重⼤度および信頼の評価については、以下のサイト内にある「ディテクタ・ レシピ・リファレンス - OCI脅威ディテクタ・ルール」を参照してください。 https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/detect-recipes.htm 「脅威モニタリング」ページからの対応 〜 概要 〜 Cloud Guard 検出結果と対応 Copyright © 2023, Oracle and/or its affiliates. 59 3. 予定されたリソースへの操作内容 であるか確認 ※ 社内検証環境の為、コンパートメント名などは伏せております

不正操作された疑いがある関連リソースの情報が表⽰されます。予定されていないリソースへのアクセスがあるかを確認し、リソースに対 する影響を調査します。 「脅威モニタリング」ページからの対応 〜 影響を受けるリソース 〜 Cloud Guard 検出結果と対応 Copyright © 2023, Oracle and/or its affiliates. 60 1. 「影響を受けるリソース」をクリック 2. 予定されていないリソースへのアクセス があるかを確認 【補⾜説明】 ネットワークリソースへのアクセスが多い場合などは、アクセス制御の設定が脆弱 になっていないか︖などの調査を⾏ってください。 ※ 社内検証環境の為、コンパートメント名などは伏せております

リソースへのアクセス元となるIPアドレスが表⽰されます。通常とは異なるIPアドレスからのアクセスであるか、どのサービスにアクセスされたか などを確認し、ユーザーアカウントが乗っ取られていないかを調査します。 1. 「エンドポイント」をクリック 2. 通常とは異なるIPアドレス（場所）からの アクセスがあるかを確認 「脅威モニタリング」ページからの対応 〜 エンドポイント 〜 Cloud Guard 検出結果と対応 Copyright © 2023, Oracle and/or its affiliates. 61 3. どのサービスにアクセスされたかも合わせて 確認 【補⾜説明】 通常とは異なるIPアドレスがある場合、物理的に移動できる距離からのアクセス であるか︖、異なるIPアドレスを利⽤する必要があるのか︖などの調査を⾏って ください。 ※ 社内検証環境の為、コンパートメント名などは伏せております

リスク・スコアの閾値（80）を超えるとCloud Guardが問題として識別し、「問題」ページに「Rogue User」として表⽰されます。 「脅威モニタリング」で能動的に調査ができていない場合でも「問題」で検出された際は、前項の内容を沿って調査を⾏ってください。 【補⾜説明】︓ 問題への対応⽅法は、P.51 「 「問題」ページからの対応」を参照 ください。 1. 「問題」をクリック 2. 監視対象とするコンパートメントを選択 3. 「フィルタ」より「ディテクタ・タイプ= 脅威」を選択 「脅威モニタリング」ページからの対応 Cloud Guard 検出結果と対応 Copyright © 2023, Oracle and/or its affiliates. 62 4. 「Rogue User」をクリック ※ 社内検証環境の為、コンパートメント名などは伏せております

1. Cloud Guard 概要 2. Cloud Guard 設定⼿順 📌 前提条件と構成 📌 Cloud Guardの有効化 📌 通知とイベントの作成 3. Cloud Guard 検出結果と対応 📌 「推奨事項」ページからの対応 📌 「問題」ページからの対応 📌 「脅威モニタリング」ページからの対応 4. Cloud Guard 応⽤編 📌 ターゲットの管理 📌 ディテクタ・レシピの管理 📌 レスポンダ・レシピの管理 Agenda Copyright © 2023, Oracle and/or its affiliates. 63

Ø ターゲットの管理 Cloud Guardでの監視対象となるコンパートメント（範囲）を定義したり、監視に利⽤するレシピを変更することができます。 ルート・コンパートメント以外にも、特定のコンパートメントのみを監視対象にすることも可能です。 また、Security Zonesが設定されたターゲットの詳細も表⽰できます。 https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/targets.htm Ø ディテクタ・レシピの管理 ディテクタ・レシピの表⽰、クローニングおよび変更することができます。ディテクタ・レシピで定義されているディテクタ・ルールに従って、 リソースの構成またはアクティビティに関する潜在的なセキュリティの問題を識別します。 https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/detect-recipes.htm Ø レスポンダ・レシピの管理 レスポンダ・レシピの表⽰、クローニングおよび変更することができます。レスポンダ・レシピは、Cloud Guardで問題が検出された際に Cloud Guardで実⾏するアクションを定義します。 https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/respond-recipes.htm 64 Copyright © 2023, Oracle and/or its affiliates. Cloud Guard 応⽤編

監視対象となるコンパートメント（範囲）を定義します。 ルート・コンパートメント以外にも、特定のコンパートメントに対して監視対象を構成することが可能です。 1. 「ターゲット」をクリック 2. 監視対象とするコンパートメントを選択 3. 「新規ターゲットの作成」をクリック ターゲットの管理 Cloud Guard 応⽤編 Copyright © 2023, Oracle and/or its affiliates. 65 ※ 社内検証環境の為、コンパートメント名などは伏せております

監視対象となるコンパートメントおよび問題の検出・対応する為の各種レシピを設定します。 1. 任意の名前と説明を⼊⼒ 2. 監視対象とするコンパートメントを選択 4. 「作成」をクリック 3. 各レシピより任意のディテクタ・レシピ、レスポンダ・レシピを選択 【補⾜説明】︓ レシピの選択では、「Oracle管理のレシピ」または「任意のレシピ」より選択 します。「任意のレシピ」の作成⽅法は、P.75 「ディテクタ・レシピの管理」 および P.84 「レスポンダ・レシピの管理」を参照してください。 ターゲットの管理 Cloud Guard 応⽤編 Copyright © 2023, Oracle and/or its affiliates. 66 ※ 社内検証環境の為、コンパートメント名などは伏せております

設定したターゲットの詳細が表⽰され、監視対象のコンパートメントにターゲットが作成されたことを確認します。 1. 「ターゲット」をクリック 2. 監視対象のコンパートメントを選択 3. ターゲットが作成されたことを確認 ターゲットの管理 Cloud Guard 応⽤編 Copyright © 2023, Oracle and/or its affiliates. 67 ※ 社内検証環境の為、コンパートメント名などは伏せております

また、ターゲットでは、ターゲットに設定されている既存レシピの変更が可能です。現在、設定されているレシピから新たなレシピに変更 したい場合などに必要となる⼿順です。 先ずは、設定されている「ディテクタ・レシピ」を削除します。 例︓ 「Oracle管理のレシピ」から「任意のレシピ」に変更 1. 「ターゲット」をクリック 2. 監視対象のコンパートメントを選択 3. 該当の「ターゲット」をクリック 5. 各レシピより3つの点をクリックして 「削除」をクリック 4. 「ディテクタ・レシピ」をクリック ターゲットの管理 〜 レシピの変更 〜 Cloud Guard 応⽤編 Copyright © 2023, Oracle and/or its affiliates. 68 ※ 社内検証環境の為、コンパートメント名などは伏せております

次に、設定されている「レスポンダ・レシピ」を削除します。 例︓ 「Oracle管理のレシピ」から「任意のレシピ」に変更 1. 「ターゲット」をクリック 2. 監視対象のコンパートメントを選択 3. 該当の「ターゲット」をクリック ターゲットの管理 〜 レシピの変更 〜 Cloud Guard 応⽤編 Copyright © 2023, Oracle and/or its affiliates. 69 5. レシピより3つの点をクリックして 「削除」をクリック 4. 「レスポンダ・レシピ」をクリック ※ 社内検証環境の為、コンパートメント名などは伏せております

ターゲットに設定されていた「ディテクタ・レシピ」 と 「レスポンダ・レシピ」が削除されたことを確認します。 ターゲットの管理 〜 レシピの変更 〜 Cloud Guard 応⽤編 Copyright © 2023, Oracle and/or its affiliates. 70 3. 「レスポンダ・レシピ」をクリック 1. 「ディテクタ・レシピ」をクリック 2. 各ディテクタ・レシピが削除されたことを確認 4. レスポンダ・レシピが削除されたことを確認 ※ 社内検証環境の為、コンパートメント名などは伏せております

「ディテクタ・レシピ」 と 「レスポンダ・レシピ」が削除されたことで、新たなレシピを設定することが可能になります。 先ずは、「ディテクタ・レシピ」を追加します。 1. 「ディテクタ・レシピ」をクリック 2. 「レシピの追加」をクリック 3. 各レシピより任意のディテクタ・レシピを選択 ターゲットの管理 〜 レシピの変更 〜 Cloud Guard 応⽤編 Copyright © 2023, Oracle and/or its affiliates. 71 4. 「レシピの追加」をクリック ※ 社内検証環境の為、コンパートメント名などは伏せております

次に、「レスポンダ・レシピ」を追加します。 1. 「レスポンダ・レシピ」をクリック 2. 「レシピの追加」をクリック 3. 任意のレスポンダ・レシピを選択 4. 「レシピの追加」をクリック ターゲットの管理 〜 レシピの変更 〜 Cloud Guard 応⽤編 Copyright © 2023, Oracle and/or its affiliates. 72 ※ 社内検証環境の為、コンパートメント名などは伏せております

新たに設定した「ディテクタ・レシピ」 と 「レスポンダ・レシピ」がターゲットに追加され、「Oracle管理のレシピ」から「任意のレシピ」に変更 されたことを確認します。レシピの修正⽅法については、P.75 「ディテクタ・レシピの管理」 および P.84 「レスポンダ・レシピの管理」を 参照してください。 3. 「レスポンダ・レシピ」をクリック 1. 「ディテクタ・レシピ」をクリック 2. 各ディテクタ・レシピが追加されたことを確認 4. レスポンダ・レシピが追加されたことを確認 ターゲットの管理 〜 レシピの変更 〜 Cloud Guard 応⽤編 Copyright © 2023, Oracle and/or its affiliates. 73 ※ 社内検証環境の為、コンパートメント名などは伏せております

Oracle管理のディテクタ・レシピでは、個々のディテクタ・ルールに対して、ステータスの変更（有効/無効）などが出来ません。 個々のディテクタ・ルールに対して、ステータスの変更（有効/無効）を⾏いたい場合、Oracle管理のレシピが保管されているルート・ コンパートメントより既存レシピのクローンを作成して、任意のディテクタ・レシピにて管理する必要があります。 1. 「ディテクタ・レシピ」をクリック 2. Oracle管理のレシピが保管されている ルート・コンパートメントを選択 74 Copyright © 2023, Oracle and/or its affiliates. Cloud Guard 応⽤編 ディテクタ・レシピの管理 3. 「クローン」をクリック ※ 社内検証環境の為、コンパートメント名などは伏せております 4. 次ページ以降で、各ディテクタ・レシピ のクローンを作成

リソースの構成に関するディテクタ・レシピ（OCI Activity Detector Recipe（Oracle管理））のクローンを作成します。 1. クローン元となるOCI Configuration Detector Recipe（Oracle管理）を選択 2. 任意の名前と説明を⼊⼒ 3. クローンの保存先となる任意のコンパートメントを選択 4. 「クローン」をクリック 【補⾜説明】︓ クローンの保存先ついては、運⽤・管理⾯を考慮してターゲットと 同じコンパートメントで管理されることを推奨します。 75 Copyright © 2023, Oracle and/or its affiliates. Cloud Guard 応⽤編 ディテクタ・レシピの管理 ※ 社内検証環境の為、コンパートメント名などは伏せております

リソースのアクティビティに関するディテクタ・レシピ（OCI Configuration Detector Recipe（Oracle管理））のクローンを作成しま す。 1. クローン元となるOCI Activity Detector Recipe （Oracle管理）を選択 2. 任意の名前と説明を⼊⼒ 3. クローンの保存先となる任意のコンパートメントを選択 4. 「クローン」をクリック 【補⾜説明】︓ クローンの保存先ついては、運⽤・管理⾯を考慮してターゲットと 同じコンパートメントで管理されることを推奨します。 76 Copyright © 2023, Oracle and/or its affiliates. Cloud Guard 応⽤編 ディテクタ・レシピの管理 ※ 社内検証環境の為、コンパートメント名などは伏せております

リソースの脅威に関するディテクタ・レシピ（OCI Threat Detector Recipe（Oracle管理））のクローンを作成します。 1. クローン元となるOCI Threat Detector Recipe （Oracle管理）を選択 2. 任意の名前と説明を⼊⼒ 3. クローンの保存先となる任意のコンパートメントを選択 4. 「クローン」をクリック 【補⾜説明】︓ クローンの保存先ついては、運⽤・管理⾯を考慮してターゲットと 同じコンパートメントで管理されることを推奨します。 77 Copyright © 2023, Oracle and/or its affiliates. Cloud Guard 応⽤編 ディテクタ・レシピの管理 ※ 社内検証環境の為、コンパートメント名などは伏せております

クローンの保存先となったコンパートメントに「構成、アクティビティ、脅威のディテクタ・レシピ（クローン）」が作成されたことを確認します。 3. 構成/アクティビティ/脅威ディテクタ・レシピのクローンが 作成されたことを確認 ディテクタ・レシピの管理 Cloud Guard 応⽤編 Copyright © 2023, Oracle and/or its affiliates. 78 2. クローンの保存先となる任意のコンパートメントを選択 1. 「ディテクタ・レシピ」をクリック ※ 社内検証環境の為、コンパートメント名などは伏せております 【補⾜説明】︓ クローンされたディテクタ・レシピは、「Oracle管理」欄が「いいえ」で 表⽰されます。

任意のディテクタ・レシピを⽤いて、ディテクタ・ルールに対する“ステータス（有効/無効）” や “リスク・レベル”などの変更が⾏えます。 オラクルで事前定義した設定値を編集したい場合などの参考にしてください。 以下、リソースの構成に関するディテクタ・レシピの修正⽅法となります。 4. 設定変更したいディテクタ・ルールより 3つの点をクリックして「編集」をクリック 1. 「ディテクタ・レシピ」をクリック 79 Copyright © 2023, Oracle and/or its affiliates. Cloud Guard 応⽤編 ディテクタ・レシピの管理 〜 構成ディテクタ・レシピの編集 〜 2. クローンで作成された任意のレシピが 保管されているコンパートメントを選択 3. 「構成」のディテクタ・レシピをクリック ※ 社内検証環境の為、コンパートメント名などは伏せております

以下、「VCN Security list allows traffic to restricted port」のディテクタ・ルールを基に例⽰します。 当該ディテクタ・ルールを「有効/無効」、リスク・レベルを「クリティカル、⾼、中、低」に変更する場合、以下の設定となります。 ディテクタ・レシピの管理 〜 構成ディテクタ・レシピの編集 〜 Cloud Guard 応⽤編 Copyright © 2023, Oracle and/or its affiliates. 80 1. ディテクタ・ルールを有効または無効に変更したい場合 「ステータス」より選択 2. リスク・レベルを変更したい場合、「リスク・レベル」より選択 【リスク・レベル】︓ クリティカル、⾼、中、低

更に、「VCN Security list allows traffic to restricted port」のディテクタ・ルールでは、ポート制限に関する変更もできます。 ユーザー環境で使⽤しているポートを監査対象外とする場合、「Restricted Protocol:Ports List」のポート番号を変更します。 「アクティブディテクタ・レシピ」および「脅威ディテクタ・レシピ」においても同様の⼿順でディテクタ・ルールの編集が可能です。 ディテクタ・レシピの管理 〜 構成ディテクタ・レシピの編集 〜 Cloud Guard 応⽤編 Copyright © 2023, Oracle and/or its affiliates. 81 1. ポート制限を変更したい場合、⼊⼒設定の「Restricted Protocol:Ports List 」よりポート番号を変更 【補⾜説明】︓ ディテクタ・ルールによっては、「⼊⼒設定」の画⾯がないものあります。 「⼊⼒設定」のあるディテクタ・ルールは、「構成済みの設定」欄に「はい/いいえ」が設定 されています。

ディテクタ・レシピの編集には、「ディテクタ・レシピ」メニューから編集 と 「ターゲット」メニュー内のディテクタ・レシピから編集の2つの⽅法が あります。それぞれで編集できる内容が異なりますので、ご注意ください。 「ディテクタ・レシピ」メニューから編集 「タッゲート」メニュー内のディテクタ・レシピから編集 こちらのディテクタ・レシピでは、「ステータスの変更」、「リスク・レベルの変更」 「⼊⼒設定」の変更を⾏うことは出来ません。 グレーアウトされて表⽰ 「ステータスの変更」、「リスク・レベルの変更」、「⼊⼒設定」の変更したい場合 こちらのディテクタ・レシピから編集。 ディテクタ・レシピの管理 〜 ディテクタ・レシピの編集における注意事項 〜 Cloud Guard 応⽤編 Copyright © 2023, Oracle and/or its affiliates. 82

Oracle管理のレスポンダ・レシピでは、個々のレスポンダ・ルールに対して、ステータスの変更（有効/無効）が出来ません。 個々のレスポンダ・ルールに対して、ステータスの変更（有効/無効）などを⾏いたい場合、Oracle管理のレシピが保管されているルート・ コンパートメントより既存レシピのクローンを作成して、任意のレスポンダ・レシピにて管理する必要があります。 1. 「レスポンダ・レシピ」をクリック 2. Oracle管理のレシピが保管されている ルート・コンパートメントを選択 3. 「クローン」をクリック 83 Copyright © 2023, Oracle and/or its affiliates. Cloud Guard 応⽤編 レスポンダ・レシピの管理 ※ 社内検証環境の為、コンパートメント名などは伏せております

Cloud Guardで問題を検出した際の対応に関するレスポンダ・レシピ（OCI Responder Recipe（Oracle管理））のクローンを 作成します。 1. クローン元となるOCI Responder Recipe （Oracle管理）を選択 2. 任意の名前と説明を⼊⼒ 3. クローンの保存先となる任意のコンパートメントを選択 4. 「クローン」をクリック 【補⾜説明】︓ クローンの保存先ついては、運⽤・管理⾯を考慮してターゲットと 同じコンパートメントで管理されることを推奨します。 84 Copyright © 2023, Oracle and/or its affiliates. Cloud Guard 応⽤編 レスポンダ・レシピの管理 ※ 社内検証環境の為、コンパートメント名などは伏せております

クローンの保存先となったコンパートメントに「レスポンダ・レシピ（クローン）」が作成されたことを確認します。 3. レスポンダ・レシピのクローンが作成されたことを確認 2. クローンの保存先となる任意のコンパートメントを選択 1. 「ディテクタ・レシピ」をクリック レスポンダ・レシピの管理 Cloud Guard 応⽤編 Copyright © 2023, Oracle and/or its affiliates. 85 ※ 社内検証環境の為、コンパートメント名などは伏せております クローンされたレスポンダ・レシピは、「Oracle管理」欄が「いいえ」 で表⽰されます。

任意のレスポンダ・レシピを⽤いて、レスポンダ・ルールに対するステータス（有効/無効）などの変更が⾏えます。 オラクルで事前定義した設定値を編集したい場合などの参考にしてください。 以下、「Make Bucket Private」のレスポンダ・ルールの修正⽅法となります。 4. 設定変更したいディテクタ・ルールより 3つの点をクリックして「編集」をクリック 1. 「レスポンダ・レシピ」をクリック 2. クローンで作成された任意のレシピが 保管されているコンパートメントを選択 3. 該当のレスポンダ・レシピをクリック 86 Copyright © 2023, Oracle and/or its affiliates. Cloud Guard 応⽤編 レスポンダ・レシピの管理 〜 レスポンダ・レシピの編集 〜 ※ 社内検証環境の為、コンパートメント名などは伏せております

「Make Bucket Private」のレスポンダ・ルールのステータスを変更（有効/無効）する場合、以下の設定となります。 87 Copyright © 2023, Oracle and/or its affiliates. Cloud Guard 応⽤編 レスポンダ・レシピの管理 〜 レスポンダ・レシピの編集 〜 ※ 社内検証環境の為、コンパートメント名などは伏せております 1. レスポンダ・ルールを有効または無効に変更したい場合 「ステータス」より選択

また、レスポンダ・ルールでは、Cloud Guardで問題を検出した際、問題を⾃動修復することもできます。 問題を⾃動修復する為の設定は、「ターゲット」メニュー内にあるレスポンダ・レシピより編集します。 2. クローンの保存先となる任意のコンパートメントを選択 1. 「ターゲット」をクリック 3. 編集したいレスポンダ・レシピが管理されている ターゲットをクリック 88 Copyright © 2023, Oracle and/or its affiliates. Cloud Guard 応⽤編 レスポンダ・レシピの管理 〜 レスポンダ・レシピの編集 〜 ※ 社内検証環境の為、コンパートメント名などは伏せております 4. 「レスポンダ・レシピ」をクリック

該当のレスポンダ・レシピより、「Make Bucket Private」のレスポンダ・ルールを編集します。 1. 該当のレスポンダ・レシピをクリック 89 Copyright © 2023, Oracle and/or its affiliates. Cloud Guard 応⽤編 レスポンダ・レシピの管理 〜 レスポンダ・レシピの編集 〜 ※ 社内検証環境の為、コンパートメント名などは伏せております 2. 設定変更したいディテクタ・ルールより 3つの点をクリックして「編集」をクリック

Cloud Guardが問題を⾃動修復できる様に「必要なポリシー・ステートメント」および「設定」の項⽬を編集します。 以下の内容を設定することで、 パブリック・バケットが検出された場合、⾃動的にプライベート・ベケットへの設定変更を⾏います。 1. 「ステートメントの追加」をクリック 【補⾜説明】︓ Cloud Guardが⾃動修復する際、該当リソースに対する設定変更を ⾏います。その為、ポリシーステートメントに表⽰さているポリシーの追加 が必要となります。 2. 「⾃動的に実⾏」を選択 「⾃動的な実⾏の確認」にチェック 90 Copyright © 2023, Oracle and/or its affiliates. Cloud Guard 応⽤編 レスポンダ・レシピの管理 〜 レスポンダ・レシピの編集 〜 ※ 社内検証環境の為、コンパートメント名などは伏せております

⾃動修復のレスポンダ・ルールは、#2〜10が対象となります。 レスポンダ・ルールがどのディテクタ・ルールには対応するかは、ディテクタ・ルールの説明内に「関連付けられたレスポンダ」が表⽰され、且つ 関連するレスポンダ・ルール名も表⽰されます。⾃動修復の設定を⾏う際は、どのディテクタ・ルールで対応するのかを事前に確認ください。 # レスポンダ・ルール レスポンダ・ルール（翻訳版） 1 Cloud Event クラウドイベント 2 Delete IAM Policy IAMポリシーを削除する 3 Delete Internet Gateway インターネットゲートウェイを削除する 4 Delete Public IP(s) パブリックIPを削除します 5 Disable IAM User IAMユーザーを無効にする 6 Enable DB Backup DBバックアップを有効にする 7 Make Bucket Private バケットをプライベートにする 8 Rotate Vault Key ボールトキーをローテーション 9 Stop Compute Instance コンピューティングインスタンスの停⽌ 10 Terminate Compute Instance コンピューティングインスタンスを終了します 91 Copyright © 2023, Oracle and/or its affiliates. Cloud Guard 応⽤編 レスポンダ・レシピの管理 〜 レスポンダ・レシピの編集における注意事項 〜 ※ 社内検証環境の為、コンパートメント名などは伏せております 「Bucket is public」のディテクタ・レシピ 「User does not have MFA enabled」のディテクタ・レシピ 【⾃動修復の対象】 「Make Bucket Private」が関連付けられている 【⾃動修復の対象外】 「関連付けられたレスポンダ」の表記がない

レスポンダ・レシピの編集には、「レスポンダ・レシピ」メニューから編集 と 「ターゲット」メニュー内のレスポンダ・レシピから編集する2つの ⽅法があります。それぞれで編集できる内容が異なりますので、ご注意ください。 「レスポンダ・レシピ」メニューから編集 「タッゲート」メニュー内のレスポンダ・レシピから編集 「ポリシー・ステートメント」や「ルール・トリガー」を設定する場合 「ステータス」を変更する場合 92 Copyright © 2023, Oracle and/or its affiliates. Cloud Guard 応⽤編 レスポンダ・レシピの管理 〜 レスポンダ・レシピの編集における注意事項 〜

No content