Oracle Cloud Infrastructureドキュメント

OCIエージェントを使用したコンピュート・スキャン・レシピの作成

Oracle Cloud Infrastructureアカウントに含まれているOCIエージェントを使用してコンピュート(ホスト)スキャン・レシピを作成し、コンソールで結果を表示します。

OCIエージェントは、Center for Internet Securityによって公開されている業界標準のベンチマークへの準拠をテストします。

重要

  • 開始する前に、ポリシー・ドキュメントで脆弱性スキャンを確認してください。スキャンに必要なIAMポリシーを参照してください。
  • OCIエージェントまたはQualysエージェントコンピュート・スキャン・レシピを作成した後、そのレシピを変更してエージェントを変更しないでください。別のレシピを作成します。

OCIエージェントを使用してコンピュート・スキャン・レシピを作成するには、次のステップを実行します:

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「スキャン」で、「スキャン・レシピ」をクリックします。
  2. 次のいずれかの方法で、「スキャン・レシピの作成」パネルを開きます:
    • スキャン・レシピが存在しない場合、サービスの概要を含む「ようこそ」ページが表示されます。「スキャン・レシピの作成」をクリックし、レシピを作成するコンパートメントを選択します。
    • スキャン・レシピが存在する場合は、レシピを作成するコンパートメントを選択し、「ホスト」タブをクリックしてから、「作成」をクリックします。
  3. レシピ・タイプが「コンピュート」であることを確認します。
  4. レシピの名前を入力します。

    機密情報を入力しないでください。

  5. (オプション)レシピが作成されるコンパートメントを変更します。
  6. このレシピのパブリックIPポートスキャンのレベルを選択します。
    • Standard: 最も一般的なポート番号である1,000を確認します。
    • 簡易(デフォルト: 100個の最も一般的なポート番号をチェックします。
    • なし: オープン・ポートをチェックしません。

    脆弱性スキャン・サービスは、パブリックIPアドレスを検索するネットワーク・マッパーを使用します。スキャンされるポートを参照してください。

  7. OCIエージェントを選択します。
  8. (オプション)CISベンチマーク・スキャンを構成します。
    1. Center for Internet Security (CIS)によって公開されている業界標準のベンチマークへの準拠について、エージェントでターゲットをチェックしない場合、CISベンチマーク・スキャンを無効にします。
    2. CISベンチマーク・スキャンが有効な場合、このレシピのCISベンチマーク・プロファイルを選択します。
      • 厳格: 20%を超えるCISベンチマークに不合格の場合、ターゲットにはCriticalのリスク・レベルが割り当てられます。
      • (デフォルト): 40%を超える顧客情報システム・ベンチマークが失敗した場合、ターゲットにはHighのリスク・レベルが割り当てられます。
      • : 80%を超えるCISベンチマークに不合格の場合、ターゲットにはHighのリスク・レベルが割り当てられます。
  9. (オプション)「ファイル・スキャンの有効化」を選択して、サードパーティ・アプリケーションの脆弱性をスキャンします。
    ノート

    脆弱性スキャン・サービスは、log4jおよびspring4shellでのみ脆弱性をチェックします。
    1. スキャンするLinuxフォルダには、ターゲットLinuxホストでスキャンするフォルダを少なくとも1つ指定します。

      複数のフォルダはセミコロンで区切ります。

    2. スキャンするWindowsフォルダには、ターゲットWindowsホストでスキャンするフォルダを指定します。
      ノート

      Oracleで将来使用するために予約されています。ファイル・スキャンはWindows OSでは使用できません。

      複数のフォルダはセミコロンで区切ります。

    3. ファイル・スキャン・スケジュールを構成します。

      このスケジュールは、このレシピに割り当てられたターゲット上のファイルがスキャンされる頻度を制御します。

      「隔週」または「月次」から選択します。

  10. 「スケジュール」で、パブリックIPポート・スキャンのスケジュールを選択します。

    スケジュールにより、このレシピに割り当てられたターゲットをスキャンする頻度を制御します。「日次」または「週次」値のいずれかを選択します。

    ノート

    Qualysエージェントのスキャン・スケジュールまたは他のQualysエージェント構成を構成するには、Qualysダッシュボードに移動します。

  11. (オプション)「拡張オプションの表示」をクリックして、レシピにタグを割り当てます。

    リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを追加する権限もあります。

    定義済タグを追加するには、タグ・ネームスペースを使用する権限が必要です。

    タグ付けの詳細は、リソース・タグを参照してください。タグの追加が必要かどうかわからない場合は、このオプションをスキップするか、管理者に連絡してください。タグは後から追加できます。

  12. 次のいずれかの方法を使用してレシピを保存します。
    1. 「スキャン・レシピの作成」をクリックして、脆弱性スキャン・サービスでレシピを作成します。
    2. 「スタックとして保存」をクリックして、リソース・マネージャ・サービスを介してスタックを管理します。「スタックとして保存」ウィンドウで、フィールドに入力し、「保存」をクリックします。スタックの詳細は、スタックの管理を参照してください。

レシピの作成後、スキャン・ターゲットを作成してレシピに関連付けることができます。コンピュート・ターゲットの作成を参照してください。