OCI Logging Analyticsを使用したOracle Cloud Infrastructureセキュリティの基礎ダッシュボード (2023/08/30)
OCI Logging Analyticsを使用したOracle Cloud Infrastructureセキュリティの基礎ダッシュボード (2023/08/30)
https://www.ateam-oracle.com/post/security-fundamentals-dashboards-using-logging-analytics
投稿者:Royce Fu | Master Principal O&M Cloud Architect
Johannes Murmann | Master Principal Security Cloud Architect.
Amine Tarhini | Principal Security and Management Platform Specialist
はじめに
Oracle Cloud Infrastructure(OCI)とサービスは、ミッションクリティカルなワークロードを実行し、自信を持ってデータを保存できる、効果的で管理しやすいセキュリティを提供します。クラウド・セキュリティのオペレーショナル・エクセレンスを実現するには、お客様のOCIテナンシのセキュリティ・ポスチャを継続的に監視および改善し、重要なサイバー衛生プラクティスを採用することが重要です。専用のセキュリティ情報およびイベント管理(SIEM)システムを使用せずに、動的なクラウド・セキュリティ環境をナビゲートするお客様向けに、Security Fundamentals Dashboardsは、お客様が進化し続けるサイバー環境を常に警戒できるように、OCIクラウド・リソースに関する強力なセキュリティの可観測性とガバナンスを構築および維持するためのお客様をサポートします。Security Fundamentals Dashboardsは、OCI Logging Analyticsの高度な機能を活用し、ほぼリアルタイムの監視と分析を行うことで、セキュリティ・イベントに関連するOCIログを積極的に集計および分析します。アラートにより、セキュリティ運用チームは、セキュリティ・リスクをより迅速に検出し、システムのチューニングに基づいて重要な情報に焦点を当て、適切なアクションを実行してリスクを軽減できます。
ダッシュボード・アーティファクト
セキュリティ基礎ダッシュボードの最初のリリースには、次の3つのダッシュボードが含まれています。
- アイデンティティ・セキュリティ・ダッシュボード
- ネットワーク・セキュリティ・ダッシュボード
- Security Operationsダッシュボード
コードはここで使用でき、参照用のサンプル・コードとして提供されます。サンプル・コードは、追加の拡張用にカスタマイズできます。
セキュリティ基礎ダッシュボード詳細
- セキュリティの脅威を迅速に検出するための即時利用可能なダッシュボード
- テナンシ内の重要なセキュリティ・イベントの監視に関心のあるお客様向けに設計されています。
- ダッシュボードは、Oracleのセキュリティ分析とモニタリングのベストプラクティスに基づいています。
- ダッシュボードは、OCIネイティブ監査およびVCNフロー・ログからデータを問い合せて、継続的なアイデンティティおよびネットワーク・セキュリティ・イベントを監視します
- ロギング・モニタリングおよびアラートに関連する成熟度加速プログラム基盤(MAP-F)機能を満たし、主要なセキュリティ・メトリックを可視化します
- 可観測性と管理Logging Analyticsがソリューションの主なサービスです
- 消費は、基礎となるログのサイズと保持に基づきます。
- アイデンティティ・ダッシュボードは、ローカル・ユーザー・アクティビティの監視にのみ適用されます。アイデンティティ・ドメインまたはIDCSを使用する場合は、新しいアイデンティティ・ドメイン・ダッシュボード用にチューニングしたままにしてください。
注意: OCI Maturity Acceleration Program-Foundation(MAP-F)は、組織が基盤のセキュリティ機能を構築、導入、維持し、OCIでのセキュアな運用をサポートできるように支援することを目指す、共同のカスタマー・エンゲージメントです。
ダッシュボードのスクリーンショット:
「セキュリティの基礎」ダッシュボード・ウィジェット:
|
Category |
Widgets |
Description |
|
IAM |
Local User Password reset |
Bar Chart showing count of successful Local Password resets aggregated over 1 day. |
|
IAM |
Local User Creation |
Bar Chart showing count of successful or unsuccessful Local User creations aggregated over 1 day. |
|
IAM |
Local User Changes |
Bar Chart showing count of successful or unsuccessful Local User changes aggregated over 1 day. This includes Deactivate User, Delete User, Update User, Update User Capabilities, Update User State, Update User Password via UI |
|
IAM |
Local Dormant Users |
Tile showing count of dormant users that haven't successfully logged in to the OCI console within the last 30 days |
|
IAM |
Local Group Changes |
Bar Chart showing count of successful or unsuccessful Local group changes aggregated over 1 day. This includes "Add user to group" and "Remove user from group" |
|
IAM |
IAM Policy Update |
Bar Chart showing count of successful or unsuccessful IAM policy changes across the tenancy aggregated over 1 day. This includes Create Policy, Update Policy, Delete Policy. |
|
IAM |
IDP Group mapping update |
Bar Chart showing count of successful or unsuccessful IDP group mapping change across the tenancy aggregated over 1 day. This includes "Add user to idpgroup", "Remove user from idpgroup", "Create idpgroup mapping", "Delete idpgroup mapping, "Update idpgroup mapping" |
|
IAM |
IDP Changes |
Bar Chart showing count of successful or unsuccessful Identity Provider changes across the tenancy aggregated over 1 day. This includes Create, Update , Delete IDP. |
|
IAM |
Local Successful Logins |
Bar Chart showing count of successful Local Logins aggregated over 1 day. |
|
IAM |
Local Failed Logins |
Bar Chart showing count of unsuccessful Local Logins aggregated over 1 day. This includes failed login due to wrong password or disabled user. |
|
IAM |
API Key Creation |
Bar Chart showing count of successful or unsuccessful API key creations(additions to a user) aggregated over 1 day. |
|
IAM |
Top Identity Events Producers |
Pie Chart identifying the top producers of Identity related audit events. Internal users and services have been filtered out. Otherwise the result could be skewed heavily. |
|
Network |
Total Network Traffic |
Graph showing the total network traffic across all VCN Flow logs. Aggregated over 5 mins spans and shown in KB. |
|
Network |
Network Ingress Traffic from Public |
Graph showing the total Ingress network traffic across all VCN Flow logs originating from a Public IP. Aggregated over 5 mins spans and shown in KB. |
|
Network |
Security list changes |
Bar Chart showing any changes to Security Lists in the tenancy. This includes create, delete and updates to security lists and rules. |
|
Network |
NSG changes |
Bar Chart showing any changes to Network Security Groups in the tenancy. This includes create, delete and updates to Network Security Groups. |
|
Network |
Changes to Gateways |
Bar Chart showing any changes to Gateways in the tenancy. This includes create, update and delete of DRGs, NAT GW, IGW, SGW and Peering Gateways |
|
Network |
Threat IPs - Timeline |
Graph showing the count of Threat IPs over time across Flow logs and the OCI Audit log from both egress and ingress traffic. |
|
Operations |
Data freshness |
Time stats showing the last collection time for Audit and Flowlogs. The number should be small typically < 3 mins. |
|
Operations |
Service Connector errors |
Based on the Service Connector Hub metric namespace and showing errors related to reading from OCI Logging(Source), writing to Logging Analytics(Target) and Service Connector Errors. |
4ステップでのセキュリティ基礎ダッシュボードの有効化
セキュリティの基礎ダッシュボードのオンボーディング
Logging Analyticsはテナンシで設定する必要があります
Logging Analyticsの構成
セキュリティの基礎ダッシュボードのログ取込み
Logging AnalyticsはOracle Threat Intelligenceと統合されており、ログの取り込み時に脅威フィードを自動的に受信します。この機能は、Logging AnalyticsとOracle Threat Intelligenceサービスの両方が有効になっているリージョンのすべてのログ・ソースで使用できます。「脅威IP」ウィジェットは、この機能を使用します。この機能はデフォルトでは有効になっていません。
有効にするには:
- OCIコンソールで、「監視および管理」→「Logging Analytics」→「管理」に移動します。
- 右上の検索ボックスで「ソース」をクリックし、「vcn」を検索します。「OCI VCNフロー統合スキーマ・ログ」および「OCI VCNフロー・ログ」の2つのソースを取得する必要があります
- 各ソースを編集します。「編集」画面で、「フィールド・エンリッチメント」タブをクリックします。「ジオロケーション」機能の「有効」チェックボックスが選択されていることを確認します。
- 3つのドットをクリックして「ジオ・ロケーション」関数を編集し、「脅威インテリジェンス・エンリッチメント」チェック・ボックスを選択します。
- そうでない場合は、チェック・ボックスを選択して「変更の保存」をクリックします。
- 「OCI Auditログ」ログ・ソースについて、前述の5つのステップを繰り返します。
セキュリティの基礎ダッシュボードのデプロイメント
セキュリティ・ダッシュボードに必要なファイルは、次のGitHubリポジトリに格納されます。
ファイルをローカル・ワークステーションにダウンロードします。3つのセキュリティ・ダッシュボードに対応する拡張子が.jsonのファイルが3つあります
- アイデンティティ・セキュリティ: アイデンティティSecurity.json
- ネットワーク・セキュリティ: ネットワークSecurity.json
- Security Operations: Security Operations.json
JSONファイルをインポートするには、次のステップに従います。
- テナンシにログイン
- LAダッシュボード・コンソール→可観測性と管理→Logging Analytics→ダッシュボードにナビゲートします
- 「ダッシュボードのインポート」をクリックします。
- ダッシュボードを含むフォルダに移動し、最初のダッシュボードJSONファイルを選択します
- 「すべてのダッシュボードのコンパートメントの指定」を選択し、「コンパートメント」を選択します
- 「すべての保存済検索のコンパートメントの指定」を選択し、コンパートメントを選択します
- 「インポート」をクリックします。
- 2番目のJSONファイルに対してステップ3から7を繰り返します
- (オプション)上のステップに従って、Logging Analyticsとの脅威インテリジェンス・サービス統合を有効にします
データがダッシュボードに流れ始めるまでに時間がかかる場合があります。対応するウィジェット/問合せによって選択されるアクティビティがターゲット・システムに存在しないかぎり、データは表示されません。
セキュリティの基礎ダッシュボードの可視化
セキュリティ基礎ダッシュボードを使用して、OCIテナントのセキュリティの脅威および問題を検出できるようになりました。たとえば、OCIクラウド・リソースにアクセスするVCNフロー・ログで検出された脅威IPや、パブリックIPからのネットワーク・イングレス・トラフィックで検出されたスパイクでは、テナンシ全体のセキュリティ・リスクを軽減するために、セキュリティ・チームからさらに調査する必要があります。
まとめ
Security Fundamentals Dashboardsは、OCIのお客様向けのLogging Analyticsを通じて、VNC FlowログとAuditログを使用してセキュリティ・イベントを監視するための優れた出発点を提供します。これらのOCI機能を活用することで、組織はOCIセキュリティ体制に関する貴重なインサイトを獲得し、クラウド・リソースを保護および管理するための情報に基づいた意思決定を行うことができます。
今すぐOracle Cloud Infrastructure Free Trialアカウントに登録して、Oracle Cloud Infrastructureの新しい機能を試してください。
さらなる情報
コメント
コメントを投稿