Oracle Cloud Infrastructure-Dokumentation

Compute-Scanrezept mit einem OCI-Agent erstellen

Erstellen Sie ein Compute-(Host-)Scanrezept mit dem in Ihrem Oracle Cloud Infrastructure-Account enthaltenen OCI-Agent, und zeigen Sie die Ergebnisse dann in der Konsole an.

Der OCI-Agent testet die Compliance mit Branchenstandardbenchmarks, die vom Center for Internet Security veröffentlicht werden.

Wichtig

  • Bevor Sie beginnen, lesen Sie die Dokumentation zu Policys für Vulnerability Scanning. Siehe Erforderliche IAM-Policys für Scanning.
  • Nachdem Sie einen OCI-Agent oder ein Qualys-Agent-Compute-Scanrezept erstellt haben, ändern Sie dieses Rezept nicht in Agents. Erstellen Sie ein weiteres Rezept.

Gehen Sie folgendermaßen vor, um ein Compute-Scanrezept mit einem OCI-Agent zu erstellen:

  1. Wählen Sie auf der Listenseite Scanrezepte auf der Registerkarte Hosts die Option Erstellen aus. Wenn Sie Hilfe bei der Suche nach der Listenseite oder dem Rezept benötigen, finden Sie weitere Informationen unter Compute-Scanrezepte auflisten.

    Der Bereich Scanrezept erstellen wird geöffnet.

  2. Prüfen Sie, ob der Typ des Rezepts Compute ist.
  3. Geben Sie einen Namen für das Rezept ein.

    Geben Sie dabei keine vertraulichen Informationen ein.

  4. Stellen Sie sicher, dass Sie das Rezept im ausgewählten Compartment erstellen möchten. Wählen Sie bei Bedarf ein anderes Compartment aus.
  5. Wählen Sie aus, wie viele öffentliche IP-Ports für dieses Rezept gescannt werden sollen.
    • Standard: Die 1.000 häufigsten Portnummern werden geprüft.
    • Licht (Standard): Die 100 häufigsten Portnummern werden geprüft.
    • Kein Wert: Nicht auf offene Ports prüfen.

    Der Vulnerability Scanning-Service verwendet einen Netzwerk-Mapper, der Ihre öffentlichen IP-Adressen durchsucht. Siehe Gescannte Ports.

  6. Wählen Sie den OCI-Agent aus.
  7. (Optional) Konfigurieren Sie CIS-Benchmarkscans.
    1. Deaktivieren Sie CIS-Benchmarkscans, wenn der Agent keine Ziele auf Compliance mit Branchenstandardbenchmarks prüfen soll, die vom Center for Internet Security (CIS) veröffentlicht werden.
    2. Wenn CIS-Referenzscans aktiviert sind, wählen Sie das CIS-Referenzprofil für dieses Rezept aus.
      • Streng: Wenn mehr als 20% der CIS-Benchmarks nicht erfolgreich sind, wird dem Ziel die Risikostufe Critical zugewiesen.
      • Mittel (Standard): Wenn mehr als 40% der CIS-Benchmarks nicht erfolgreich sind, wird dem Ziel die Risikostufe High zugewiesen.
      • Leichtgewicht: Wenn mehr als 80% der CIS-Benchmarks nicht erfolgreich sind, wird dem Ziel die Risikostufe High zugewiesen.
  8. (Optional) Wählen Sie Dateiscans aktivieren aus, um bestimmte Ordner auf Sicherheitslücken in Anwendungen von Drittanbietern zu scannen.
    Hinweis

    Der Vulnerability Scanning-Service prüft nur in log4j und spring4shell auf Sicherheitslücken.
    1. Geben Sie für Scannen von Linux-Ordnern mindestens einen Ordner an, der auf Linux-Zielhosts gescannt werden soll.

      Trennen Sie mehrere Ordner durch Semikolons.

    2. Geben Sie für zu scannende Windows-Ordner Ordner an, die auf Windows-Zielhosts gescannt werden sollen.
      Hinweis

      Für die zukünftige Verwendung durch Oracle reserviert. Dateiscans sind für das Windows-Betriebssystem nicht verfügbar.

      Trennen Sie mehrere Ordner durch Semikolons.

    3. Konfigurieren Sie einen Dateiscanplan.

      Dieser Zeitplan steuert, wie oft die Dateien auf den Zielen, die diesem Rezept zugewiesen sind, gescannt werden.

      Wählen Sie unter Bi-wöchentlich oder Monatlich aus.

  9. Wählen Sie unter Zeitplan einen Zeitplan für das Scannen von öffentlichen IP-Ports aus.

    Der Plan bestimmt, wie oft die diesem Rezept zugewiesenen Ziele gescannt werden. Wählen Sie Täglich oder einen der Werte für Wöchentlich aus.

    Hinweis

    Um den Qualys-Agent-Scanplan zu konfigurieren oder andere Qualys-Agent-Konfigurationen vorzunehmen, navigieren Sie zum Qualys-Dashboard.

  10. (Optional) Wählen Sie Erweiterte Optionen anzeigen aus, um dem Rezept Tags zuzuweisen.

    Wenn Sie über Berechtigungen zum Erstellen von Ressourcen verfügen, sind Sie auch berechtigt, dieser Ressource Freiformtags hinzuzufügen.

    Um ein definiertes Tag hinzuzufügen, benötigen Sie Berechtigungen zum Verwenden des Tag-Namespace.

    Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags hinzufügen sollten, überspringen Sie diese Option, oder wenden Sie sich an den Administrator. Sie können Tags später hinzufügen.

  11. Speichern Sie das Rezept mit einer der folgenden Methoden.
    • Wählen Sie Scanrezept erstellen aus, um das Rezept im Vulnerability Scanning-Service zu erstellen.
    • Wählen Sie Als Stack speichern aus, um den Stack über den Resource Manager-Service zu verwalten. Füllen Sie im Fenster Als Stack speichern die Felder aus, und wählen Sie Speichern aus. Weitere Informationen zu Stacks finden Sie unter Stacks verwalten.

Nachdem Sie ein Rezept erstellt haben, können Sie Scanziele erstellen und mit dem Rezept verknüpfen. Siehe Compute-Ziel erstellen.