インスタンス・セキュリティ
インスタンス・セキュリティは、コンピュート・ホストで疑わしいアクティビティを監視する新しいOracle Cloud Guardディテクタ・レシピです。
- インスタンス・セキュリティについてでは、インスタンス・セキュリティの使用時に理解するのに役立つ概念の概要を示します。
- インスタンス・セキュリティの有効化では、インスタンス・セキュリティ・ディテクタ・レシピをターゲットに適用してインスタンス・セキュリティを開始する方法を示します。
- インスタンス・セキュリティ・ディテクタ・レシピでは、インスタンス・セキュリティ・ディテクタ・レシピについて説明します。
インスタンス・セキュリティについて
インスタンス・セキュリティは、Compute仮想ホストおよびベア・メタル・ホストのワークロードに対してランタイム・セキュリティを提供します。インスタンス・セキュリティは、クラウド・セキュリティ体制管理からクラウド・ワークロード保護まで、クラウド・ガードを拡張します。一貫した可視性とインフラストラクチャのセキュリティ状態を包括的に理解することで、セキュリティ・ニーズを1箇所で満たすことができます。
インスタンス・セキュリティは、セキュリティ・アラート(クラウド・ガードの問題と呼ばれる)、脆弱性、オープン・ポートなどのコンピュート・ホストに関する重要なセキュリティ情報を収集し、検出および防止のための実用的なガイダンスを提供します。OSレベルの可視性により、ワークロードの疑わしいプロセス、オープン・ポート作成およびスクリプト実行を検出できます。インスタンス・セキュリティは、Oracle管理の新しいすぐに使用できる検出と、脅威検出のユース・ケースに対する顧客管理問合せを提供します。
インスタンス・セキュリティはOCIロギングとネイティブに統合されているため、サードパーティのセキュリティ・ツールにログを簡単にエクスポートできます。
EBPFベースのセキュリティ・ソリューション
インスタンス・セキュリティでは、Extended Berkeley Packet Filter (eBPF)テクノロジを使用して、カーネル・レベルでセキュリティ・イベントを検出します。eBPFは、カーネル・ソース・コードを変更することなくプログラムを実行できるカーネル・テクノロジです。
カーネル・コードを変更することなく、パフォーマンスに大きな影響を与えることなく、データを自動的に収集してセキュリティの異常を検出し、OSに関する深いインサイトを得ることができます。
MITRE AT&CK Frameworkとの連携
インスタンス・セキュリティは、セキュリティ・オペレーション・センター(SOC)が既知の敵対活動を見つけるための手動作業を減らすことを目的として、MITRE ATT&CKフレームワークに準拠した、Oracle管理のすぐに使用できるディテクタ・ルール・スイートを提供します。
この情報は、MITRE ATT&CKフレームワークに合せたモデルを介して実行され、関連する潜在的な戦術および手法を分類します。
オンデマンド問合せの実行
オンデマンド問合せは、コンピュート・インスタンスで定期的に実行することも、オンデマンドで実行して、マシンの状態をリアルタイムで可視化することもできます。
インスタンス・セキュリティは、OSデータを高パフォーマンスのリレーショナル・データベースとして公開する内部でOSqueryを実行します。Osqueryは、高性能でオープンソースのマルチプラットフォーム・ホスト・エージェントであり、フリートに対する可視性とインサイトを提供します。OSに関係なくデータを収集および正規化し、インフラストラクチャ全体の可視性を高めます。OSqueryには、実行中のプロセスからロードされたカーネル拡張までのすべてをカバーする数百の表からのサポートが付属しています。インスタンス・セキュリティでは、OCIカスタム作成表に加えて、ほとんどのオープン・ソースの問合せ表がサポートされています。
問合せのスケジュール
問合せを実行し、問合せ結果に満足したら、問合せを定期的に実行するようにスケジュールできます。コンピュート・ホストのコンプライアンスおよび監査要件の一部として特定のセキュリティ制御を満たす証拠を提供する必要がある場合は、スケジュール済問合せを使用できます。インスタンス・セキュリティはOCIロギング・サービスと統合されており、RAWデータをセキュリティ情報およびイベント管理(SIEM)サービスまたはサードパーティ・データ・アグリゲータに送信するようにOCIロギング・サービスを構成できます。
インスタンス・セキュリティ・ディテクタ・レシピ
Oracle管理インスタンス・セキュリティ・ディテクタ・レシピには、次の2つのレシピがあります:
- OCIインスタンス・セキュリティ・ディテクタ・レシピ- エンタープライズ(Oracle管理)。
- OCIインスタンス・セキュリティ・ディテクタ・レシピ(Oracle管理)。
ディテクタ・レシピのカスタム構成は、これらのレシピおよびルールをクローニングすることで作成できます。OCIディテクタ・レシピのクローニングを参照してください。
1つのターゲットに適用できるインスタンス・セキュリティ・ディテクタ・レシピは1つのみです。レシピを変更する場合は、最初にターゲットから既存のレシピを削除してから、もう一方を適用する必要があります。
OCIインスタンス・セキュリティ・ディテクタ・レシピ- エンタープライズ(Oracle管理)
このレシピは、完全なサービス機能を提供する有料オファリングです。これにより、すぐに使えるOracleの検出に基づいてアラートが生成され、カスタムおよびスケジュールされた問合せを使用してフリートを問い合せることができます。
このすぐに使用できるディテクタ・レシピでは、OCIインスタンス・セキュリティ・ディテクタ・ルールで説明されているすべてのインスタンス・セキュリティ・ディテクタ・ルールを使用します。
コストの詳細を確認するには、クラウド価格表のCloud Guardの価格情報を参照してください。コスト見積りツールを使用すると、月次使用量と請求額を判断できます。「請求およびコストの管理の概要」を参照してください。
| リソース | テナンシ当たりの数 |
|---|---|
| 対象となるインスタンスの数/リージョン | 無制限 |
| すぐに使用できるディテクタ・ルール | 無制限 |
| オンデマンド問合せ | 無制限 |
| スケジュール済問合せ | 1日あたりインスタンスあたり25件のクエリ |
| スケジュール済問合せ結果のサイズ | 1日あたりインスタンス当たり5MB |
この例では、スケジュール済問合せによってどのように動作が制限されるかを示します。
スケジュール済問合せ結果のサイズはインスタンスごとに制限されるため、リージョン内に10個のインスタンスがある場合、テナント・レベルのリージョン制限は5*10 = 1日当たり50MBです
リージョン内のスケジュール済問合せ結果の制限に達すると、問合せにFailedステータスが表示され、次のメッセージが表示されます。
Scheduled query size limit has reached, the limit will reset the next day制限が翌日にリセットされると、スケジュールされたクエリーは制限に達するまで成功します。
OCIインスタンス・セキュリティ・ディテクタ・レシピ(Oracle管理)
インスタンス・セキュリティに投資する準備ができていないが、サービスを味わいたい場合は、この無料レシピを試すことができます。これにより、脆弱性およびオープン・ポート・スキャンの問題が警告され、限られた数の問合せを実行できます。
このディテクタ・レシピでは、インスタンス・セキュリティ・ディテクタ・ルールを使用します:
| リソース | テナンシ当たりの数 |
|---|---|
| 対象となるインスタンスの数/リージョン | 5 |
| すぐに使用できるディテクタ・ルール | 2 |
| オンデマンド問合せ | リージョン当たり月30日 |
| スケジュール済問合せ | 0 |
この例では、2つのシナリオを考慮して、オンデマンド問合せによってどのように機能するかを示します。
リージョン内のオンデマンド問合せは、月次制限として30個あります。
- 最初のオンデマンド問合せを実行し、25のアクティブ・インスタンスをターゲットにすると、すべてが成功し、25の結果が得られます。
- 2番目のオンデマンド問合せを実行し、25のアクティブ・インスタンスをターゲットとしますが、今回は、5つのランダムに選択されたインスタンスで5つの結果しか得られません。これは、月に5つのオンデマンド問合せしか残っていないためです。
- 3番目のオンデマンド問合せを実行し、1つのインスタンスのみをターゲットにすると、次のメッセージが表示されます。
You have consumed free adhoc units for this month, your limit will reset next month
期限切れの問合せは、約15分後に月次制限に払い戻されます。
- 最初のオンデマンド問合せで25個のインスタンス(24個のアクティブ・エージェントと1個の非アクティブ・エージェント)がターゲット指定され、その結果、アクティブ・エージェントから24個の結果が期限切れになります。
- 2つ目のオンデマンド問合せを実行し、25個のインスタンス(24個のアクティブ・エージェントと1個の非アクティブ・エージェント)をターゲットにしました。今回は、5つのランダムに選択されたインスタンスで5つの結果しか得られません。これは、月に5つのオンデマンド問合せしか残っていないためです。
- 3番目のオンデマンド問合せを実行し、1つのインスタンスのみをターゲットにすると、次のメッセージが表示されます。
You have consumed free adhoc units for this month, your limit will reset next month