Oracle Cloud Infrastructureドキュメント

クラウド・ガードの開始

Oracle Cloud Guardの概念を参照し、前提条件を満たしていることを確認し、最初にクラウド・ガードを有効にしてから、定期的にクラウド・ガードにアクセスします。

クラウド・ガードの計画

クラウド・ガードを有効にして構成する前に、クラウド・ガード機能をどのように環境にマップするかについて時間をかけて計画しておくと、後で時間を節約できることがあります。

クラウド・ガードを有効にして、環境のモニターをすぐに開始できます。実行する必要があるのは、モニターするOracle Cloud Infrastructureのブランチの最上位レベル・コンパートメントにマップする単一のターゲットを指定することのみです。その後、クラウド・ガードで検出された問題の処理に関する経験に基づいて、時間の経過とともにクラウド・ガード構成をカスタマイズできます。クラウド・ガード構成を継続的にカスタマイズして、2つの目的に沿ってパフォーマンスを最適化できます:

  1. 潜在的なセキュリティ・リスクを表すものが検出されないようにします。
  2. 誤検出(実際には潜在的なセキュリティ・リスクを表していない問題)の数が多くなりすぎないようにします。

一定の計画を立てると、この2つの目的に沿って有利に作業を開始できます。実行する必要があるのは、Oracle Cloud Infrastructureテナンシのリソースがコンパートメントにどのように編成されているかを調査することのみです。

環境の調査

Oracle Cloud Infrastructureテナンシのコンパートメント階層の異なる部分に格納されているリソースのタイプを調査します。異なるタイプの脅威を検出するために、そのコンパートメント階層の異なる部分に異なる方法でモニターする必要があるリソースのグループはありますか。異なるコンパートメントで検出された同じ問題は、異なるリスク・レベルを表しますか。

クラウド・ガードでは、異なる方法でモニターできるOracle Cloud Infrastructureテナンシ内の様々な領域を定義できます。トレードオフとして、定義された領域内のすべてのコンパートメントが、同じ方法でモニターされます。

クラウド・ガードの用語の理解

「クラウド・ガードの概念」では、クラウド・ガードの操作時に学習する条件を定義します。次のリストに、クラウド・ガードの計画を開始するために知っておく必要があることをまとめます。

ターゲット
クラウド・ガードでチェックする対象の範囲を定義します。ターゲット内のすべてのコンパートメントは同じ方法でチェックされ、検出された問題を処理するために同じオプションを使用します。
ディテクタ
アクティビティまたは構成に基づいて、潜在的なセキュリティの問題を識別するためのチェックを実行します。問題を識別するために従うルールは、ターゲット内のすべてのコンパートメントで同じです。
レスポンダ
ディテクタが問題を識別したときにクラウド・ガードが実行できるアクションを指定します。識別した問題を処理する方法のルールは、ターゲット内のすべてのコンパートメントで同じです。

クラウド・ガードのディテクタ・レシピの理解

様々なディテクタについては、ディテクタ・レシピ・リファレンスの各項で説明されているルールを参照してください。環境内で:

  • クラウド・ガードによってまったくモニターしないコンパートメントはありますか。その場合、それらのコンパートメントを除外するように1つ以上のターゲットを定義する必要があります。
  • Oracle Cloud Infrastructureコンパートメント階層の異なる部分にあるリソースに対して、リスク・レベルを別々に設定したり、ルールを別々に有効化および無効化したりすることを検討していますか?コンパートメントごとに異なるディテクタ・ルールを構成するには、それらのコンパートメントに対して個別のターゲットを定義する必要があります。

    たとえば、「バケットがパブリックです」構成ルールの場合、デフォルトのリスク・レベルは「クリティカル」で、ルールはデフォルトで有効になります。これらの設定をすべてのコンパートメントで同じにする必要がありますか。

  • ディテクタが識別した問題に対するレスポンダ・レシピ・アクションを無効にできます。特定のレスポンダ・ルールのアクションを一部のコンパートメントで有効にし、その他で無効にする場合は、それらのコンパートメントに対して個別のターゲットを定義する必要があります。

    たとえば、「バケットをプライベートにする」レスポンダ・ルールはデフォルトで有効になります。設計上すべてのバケットがパブリックであるコンパートメントがあり、このルールを無効にできますか。

ターゲットをコンパートメントにマップする方法の計画

この時点で複数のターゲットを定義する必要がなく、前提条件を完了している場合は、クラウド・ガードの有効化に進むことができます。必要に応じて、後からいつでもターゲット構成を変更できます。

異なるコンパートメントを異なる方法で監視できるようにターゲットを設定する必要がある場合は、ターゲットをコンパートメントにマップする際に次のガイドラインに留意してください:

  • ターゲットのすべてのコンパートメントは、そのターゲットの構成を継承します。ターゲットに対するディテクタおよびレスポンダ・ルールの設定は、そのターゲットに割り当てられた最上位レベル・コンパートメントと、コンパートメント階層内でその下位にあるすべてのコンパートメントに適用されます。

    一部のコンパートメントをモニタリングから除外する場合は、ルート・レベルの下位にターゲットを作成し、どのターゲットにもルート・コンパートメントを含めないでください。

  • 既存のターゲット内で定義されたターゲットは、継承された構成をオーバーライドします。既存のターゲット内で、ターゲットの最上位レベル・コンパートメントの下位にあるコンパートメントを新しいターゲットに割り当てることができます。新しいターゲットに対するディテクタおよびレスポンダ・ルールの設定は変更可能で、それらの設定は、そのターゲットに割り当てられた最上位レベル・コンパートメントと、コンパートメント階層内でその下位にあるすべてのコンパートメントに適用されます。

レポート・リージョンの慎重な選択

クラウド・ガードを有効にすると、レポート・リージョンを選択する必要があります。レポート・リージョンの選択結果を慎重に検討してください:

  • 選択したレポート・リージョンによって、組織は、レポート・リージョンがホストされている国のすべての法的要件に準拠するように拘束されます。
  • クラウド・ガードを有効にした後は、クラウド・ガードを無効にして再度有効にしないかぎり、レポート・リージョンを変更できません。
  • クラウド・ガードを無効にすると、すべてのカスタマイズおよび既存の問題(履歴を含む)は失われるため、それらのカスタマイズを手動でリストアする必要があります。
  • READを除くすべてのAPIコールは、レポート・リージョンで実行する必要があります。

クラウド・ガードを有効化するステップを開始する前に、レポート・リージョンに最適な決定を行ってください。

クラウド・ガードの有効化中

OCIコンソールからOracle Cloud Guardを有効にするには、このタスクを実行します。

前提条件: 「前提条件」および「クラウド・ガードの計画」のタスクを完了します。

2つの戦略

クラウド・ガードを有効にするには、2つの基本的なアプローチのいずれかを使用できます:

  1. デフォルト構成で開始: 有効化プロセスの完了後、できるだけ早くクラウド・ガードで問題のレポートを開始します。

    有効化プロセス中にオプションの選択をスキップしないでください。

    ノート

    有効化プロセス中にオプションの選択をスキップすると、クラウド・ガードは有効化プロセスの完了後に問題のレポートを自動的に開始しません。有効化中にオプション設定をスキップすると、指定したターゲットにディテクタ・レシピを追加するまで、クラウド・ガードでは問題のレポートが開始されません。「OCIターゲットおよびそのアタッチされたレシピの編集」を参照してください。
  2. 最初に構成をカスタマイズ: クラウド・ガードで問題のレポートを開始する前に、クラウド・ガードの構成をカスタマイズします。

    有効化プロセス中に、オプションの選択の一部または全部をスキップできます。

どのアプローチを使用してクラウド・ガードを有効にしても、有効化後に必要に応じてクラウド・ガード構成を調整できます。

クラウド・ガードを有効にするステップ
  1. 前提条件の「クラウド・ガード・ユーザーおよびグループの作成」の項で作成したOracle Cloud GuardユーザーとしてOCIコンソールにログインします。
  2. ナビゲーション・メニューおよび「アイデンティティとセキュリティ」を開きます。「クラウド・ガード」で、任意のリソースを選択します。
    ノート

    クリックしたクラウド・ガード・リソースのページが開いた場合、クラウド・ガードはすでに有効です。
  3. 「クラウド・ガード」ページで、右上にある「クラウド・ガードの有効化」ボタンを選択して、「クラウド・ガードの有効化」ダイアログ・ボックスを開きます。
    「クラウド・ガード・ポリシー」パネルには、クラウド・ガードが完全に機能するために有効にする必要があるすべてのOCIポリシーのリストが表示されます。右の列には次が表示されます。
    • ポリシーが現在有効になっていない場合は、追加されません
    • ポリシーが現在有効になっている場合は、「追加済」

    無効化後にクラウド・ガードを再有効化する場合を除き、すべてのエントリは「未追加」である必要があります。

    ノート

    これらのポリシーは、クラウド・ガードでテナンシ内のOCIリソースをモニターできるようにする読取り専用権限です。これらのポリシーでは、クラウド・ガードにリソースの管理権限は付与されません。

    例外: manage cloudevents-rulesポリシーにより、クラウド・ガードは監査イベント・サブスクリプション・ルールを作成できます。これは、クラウド・ガードが問題を検出するために不可欠なものです。クラウド・ガードのアクティビティ・ディテクタ・ルールは、テナンシ内の監査イベントを取り込んで分析することで機能します。クラウド・ガードは、監査イベントをサブスクライブできるように、テナンシにクラウド・イベント管理ルールを作成する必要があります。クラウド・ガードがNSGセキュリティ・ルールをリストできるようにするには、USE権限が必要です。

    「クラウド・ガードの有効化」ダイアログ・ボックスの「クラウド・ガード・ポリシー」パネルの下部にある「ポリシーの作成」を選択すると、次のIAMポリシーが「クラウド・ガード・ポリシー」ポリシー・グループに自動的に追加されます:

    allow service cloudguard to manage cloudevents-rules in tenancy where target.rule.type='managed'
allow service cloudguard to read audit-events in tenancy
allow service cloudguard to read authentication-policies in tenancy
allow service cloudguard to read autonomous-database-family in tenancy
allow service cloudguard to read compartments in tenancy
allow service cloudguard to read compute-management-family in tenancy
allow service cloudguard to read database-family in tenancy
allow service cloudguard to read data-safe-family in tenancy
allow service cloudguard to read dynamic-groups in tenancy
allow service cloudguard to read groups in tenancy
allow service cloudguard to read instance-family in tenancy
allow service cloudguard to read keys in tenancy
allow service cloudguard to read load-balancers in tenancy
allow service cloudguard to read log-groups in tenancy
allow service cloudguard to read object-family in tenancy
allow service cloudguard to read policies in tenancy
allow service cloudguard to read tenancies in tenancy
allow service cloudguard to read users in tenancy
allow service cloudguard to read vaults in tenancy
allow service cloudguard to read virtual-network-family in tenancy
allow service cloudguard to read volume-family in tenancy
allow service cloudguard to use network-security-groups in tenancy
    1. 「クラウド・ガード・ポリシー」パネルの下部で、「ポリシーの作成」を選択します。

      必要なすべてのポリシーが正常に作成されると、右側の列のエントリが「追加済」になります。

    2. 右側の列のいずれかのエントリが「未追加」に引き続き表示されている場合は、これらのポリシーを手動で追加します。
      OCIアイデンティティ・サービスの使用方法に応じて、次を参照してください:
  4. 「次へ」を選択して、「基本情報」パネルに進みます。
    1. レポート・リージョンを選択します。
      レポート・リージョンは、クラウド・ガードでサポートされているリージョンである必要があります。選択したリージョンがクラウド・ガードでサポートされていない場合は、別のリージョンを選択します。
      注意

      レポート・リージョンの選択は慎重に検討してください:

      • 選択したレポート・リージョンによって、組織は、レポート・リージョンがホストされている国のすべての法的要件に準拠するように拘束されます。
      • クラウド・ガードを有効にした後は、クラウド・ガードを無効にして再度有効にしないかぎり、レポート・リージョンを変更できません。
      • クラウド・ガードを無効にすると、すべてのカスタマイズおよび既存の問題(履歴を含む)は失われるため、それらのカスタマイズを手動でリストアする必要があります。
      • READを除くすべてのAPIコールは、レポート・リージョンで実行する必要があります。
    2. 指定したレポート・リージョンの名前を記録していることを確認します。

      有効化後に実行するすべての構成およびトラブルシューティング・タスクでは、OCIホーム・リージョンではなく、クラウド・ガード・レポート・リージョンを指定する必要があります。

      ノート

      レポート・リージョンの名前を参照するには、レポート・リージョンの表示を参照してください。
    3. OCIテナントでモニターするコンパートメントを指定します。

      次のオプションのいずれかを選択します。

      • 「すべて」では、すべてのコンパートメントをモニターします。
      • 「コンパートメントの選択」では、リストから選択して、指定したコンパートメントのみをモニターします。
      • 「なし」では、コンパートメントをモニターしません。ディテクタ・レシピを有効にする前に、それらの内容を単に表示する場合に「なし」を選択できます。
        ノート

        ここでの選択によって、クラウド・ガードがモニターするターゲットが定義されます。「デフォルト構成で開始」オプションを使用して有効にするには、「なし」を選択しないでください。
    4. (オプション)リストから構成ディテクタ・レシピを選択します。
      ノート

      「デフォルト構成で開始」オプションを使用して有効にするには、この選択をスキップしないでください。
    5. (オプション)リストから「アクティビティ・ディテクタ・レシピ」を選択します。
      ノート

      「デフォルト構成で開始」オプションを使用して有効にするには、この選択をスキップしないでください。

    6. 「有効化」を選択します。

      進捗バーによって、「クラウド・ガード」ページの「クラウド・ガードの有効化」ボタンが置換されます。

      ノート

      無料のテナンシでこの段階に達した場合、有効化は続行されません。
  5. 有効化が完了したら、「クラウド・ガード」ページで「クラウド・ガードに移動」を選択します。

    クラウド・ガード 「概要」ページが表示され、ガイド・ツアーが開始されます。段階的に、

    ノート

    有効化プロセスで「デフォルト構成で開始」アプローチに従った場合、問題に関する情報がすぐにクラウド・ガードに表示され始めます。問題の情報の表示が開始される時期は、環境、ターゲットとディテクタの構成、およびクラウド・ガードが検出する問題の数によって異なります。
  6. ガイド・ツアーを実行して、「概要」ページの機能をよく理解します。

次の手順

ノート

有効化プロセスで従ったアプローチにかかわらず、クラウド・ガードは、新しいテナンシ内で、2つのOCI構成ディテクタ・ルールをデフォルトで無効にします。誤検出と見なされる過剰な数の問題をクラウド・ガードが生成しないようにするには、最初にこれらのルールを無効にする必要があります。これらのルールの詳細は、次を参照してください:

ヒント

デフォルトで有効になっているディテクタ・ルールによっては、特定の環境において過剰な数の問題が発生する可能性があります。ディテクタ・ルールを無効にできるようにするには、Oracle管理ディテクタ・レシピをクローニングして、ユーザー管理バージョンを作成する必要があります。OCIディテクタ・レシピのクローニングを参照してください。

過剰な数の問題を生成するユーザー管理レシピ・ルールごとに、誤検出と見なされる問題を迅速にクリアするには:
  1. ルールによってこれらの誤検出が生成されなくなるように、変更するルール設定を決定します。

    ディテクタ・レシピ・リファレンスでルールのリファレンス情報を参照してください。

  2. ルールによってこれらの誤検出が生成されなくなるように、ルール設定を変更します。

    OCIディテクタ・レシピのルール設定の編集を参照してください。

  3. ルールを無効にします。

    OCIディテクタ・レシピのルール設定の編集を参照してください。

  4. ルールを再度有効にします。

    OCIディテクタ・レシピのルール設定の編集を参照してください。

クラウド・ガードと他のサービスの統合

クラウド・ガードと他のサービスとの統合をサポートするために必要な構成詳細が設定されていることを確認します。

「クラウド・ガードの有効化」のタスクと、「最初に構成をカスタマイズ」戦略を使用する場合の一部のフォローアップ・タスクの実行が終了した後、他のサービスとのすべての統合がスムーズに機能している必要があります。

後でクラウド・ガードとの統合をサポートする新しいサービスが使用可能になったら、クラウド・ガード構成の詳細が新しいサービスを正しくサポートしていることを確認する必要があります:

  • クラウド・ガード・ターゲットには、クラウド・ガードがモニターする必要のある新しいサービスのリソースが置かれているすべてのコンパートメントが含まれている必要があります。
  • 新規サービスに固有のルールを含むクラウド・ガード・ディテクタ・レシピは、それらのクラウド・ガード・ターゲットにアタッチする必要があります。

クラウド・ガード構成の詳細がサービスを正しくサポートすることを確認するために従うステップを参照するには、次のいずれかのサービス名を展開します。

証明書サービス

前提条件: 証明書サービスがすでに有効化されており、正しく動作していることを確認します。

  1. クラウド・ガードがまだ有効になっていない場合:
    1. クラウド・ガードの有効化 - クラウド・ガードの有効化を参照してください。

      「デフォルト構成で開始」のステップに従います。

    2. 「OCIアクティビティ・ディテクタ・レシピ」を有効にしていることを確認します。
    3. クラウド・ガードで証明書サービスをモニターするOCIコンパートメントをカバーするクラウド・ガード・ターゲットを定義していることを確認します。
    4. OCIアクティビティ・ディテクタ・レシピがクラウド・ガード・ターゲットにアタッチされていることを確認します。ターゲットの詳細の表示を参照してください。

      必要に応じて、ターゲットの作成またはターゲットに追加されたレシピの変更を参照してください。

  2. クラウド・ガードがすでに有効化されている場合は、クラウド・ガード・テナンシに次のものがあることを確認します:
  3. 必要に応じて、OCIアクティビティ・ディテクタ・レシピ(Oracle管理またはユーザー管理)にリストされているこれらのルールの構成を絞り込みます - ターゲット・レシピのルール設定の変更を参照してください。
    • CAバンドルが更新されました
    • 認証局(CA)が削除されました
    • 中間認証局(CA)が取り消されました

    目標は、実際の問題を逃さず、誤検出が大量になることもないように、ルール構成を最適化することです。ルールの変更が必要かどうかを判断する前に、証明書サービスから生成される問題をしばらくモニターする必要がある場合があります。

  4. クラウド・ガード の「問題」ページで証明書サービスから生成された問題を表示します- 問題リストの表示を参照してください。
    証明書サービスの問題のみを表示するには、「ラベル = 証明書」を使用して「問題」リストをフィルタします。
    ノート

    「ラベル」・エントリでは大文字と小文字は区別されませんが、"certificates"の文字と正確に一致する必要があります。
データ・セーフ・サービス

前提条件: データ・セーフ・サービスがすでに有効化されており、正しく動作していることを確認します。データ・セーフ・サービスが有効になる前に次のステップを実行すると、クラウド・ガードによって、データベースが見つかったときにデータ・セーフを有効にする必要があることが警告されます。

  1. クラウド・ガードがまだ有効になっていない場合:
    1. クラウド・ガードの有効化 - クラウド・ガードの有効化を参照してください。

      「デフォルト構成で開始」のステップに従います。

    2. 「OCI構成ディテクタ・レシピ」を有効にしていることを確認します。
    3. クラウド・ガードでデータ・セーフ・サービスをモニターするOCIコンパートメントをカバーするクラウド・ガード・ターゲットを定義していることを確認します。
    4. OCI構成ディテクタ・レシピがクラウド・ガード・ターゲットにアタッチされていることを確認します。ターゲットの詳細の表示を参照してください。

      必要に応じて、ターゲットの作成またはターゲットに追加されたレシピの変更を参照してください。

  2. クラウド・ガードがすでに有効化されている場合は、クラウド・ガード・テナンシに次のものがあることを確認します:
  3. 次のポリシーをクラウド・ガード・テナンシに追加して、データ・セーフ情報へのアクセスを有効にします:

    allow service cloudguard to read data-safe-family in tenancy

    allow service cloudguard to read autonomous-database-family in tenancy

  4. 必要に応じて、OCI構成ディテクタ・レシピ(Oracle管理またはユーザー管理)にリストされているこれらのルールの構成を絞り込みます - ターゲット・レシピのルール設定の変更を参照してください。
    • データ・セーフが有効になっていません(このルールは、データ・セーフが有効になった後は効力がありません)
    • データベースがデータ・セーフに登録されていません(データ・セーフが有効になっていない場合、このルールは効力がありません)

    目標は、実際の問題を逃さず、誤検出が大量になることもないように、ルール構成を最適化することです。ルールの変更が必要かどうかを判断する前に、データ・セーフ・サービスから生成される問題をしばらくモニターする必要がある場合があります。

  5. Cloud Guardの「問題」ページでデータ・セーフ・サービスから生成された問題を表示します- 問題リストの表示を参照してください。
    データ・セーフ・サービスの問題のみを表示するには、「ラベル = データベース・セキュリティ」を使用して「問題」リストをフィルタします。
    ノート

    「ラベル」・エントリでは大文字と小文字は区別されませんが、"database security"の文字と正確に一致する必要があります。
脅威インテリジェンス・サービス

前提条件: クラウド・ガード・サービスと脅威インテリジェンス・サービスの両方が有効になっていることを確認します。クラウド・ガードは、脅威インテリジェンス・サービスからの情報に基づいて、それ以上の構成なしで問題のレポートを開始します。

ユーザーがクラウド・ガードの「問題」ページで「問題の詳細」からリンクを選択し、脅威インテリジェンスの詳細情報を表示できるようにするには、ユーザー権限を付与するポリシーが設定されていることを確認します:

... to read threat-intel-family in tenancy

脅威インテリジェンスIAMポリシーを参照してください。

ロギング・サービス

インスタンス・セキュリティでは、OCIロギング・サービスを使用してアクティビティを記録します。

前提条件:クラウド・ガードとロギング・サービスの両方が有効になっていることを確認します。

クラウド・ガードによって生成されるログには、2つのタイプがあります。

  • インスタンス・セキュリティによって生成されたクラウド・ガードRAWログ。これらのログは、インスタンス・セキュリティ・レシピをターゲットにアタッチするときに有効にできます。または、ロギング・サービスから有効にすることもできます。
  • クラウド・ガード問合せ結果ログ。スケジュール済問合せによって生成されます。

ログを使用するためのポリシーの詳細は、ログおよびログ・グループの作業に必要な権限を参照してください

クラウド・ガードが生成するログのタイプの詳細は、クラウド・ガードのロギング詳細を参照してください。