Oracle Cloud Guard 常见问题解答

一般问题

什么是 Oracle Cloud Guard？

Oracle Cloud Guard 旨在检测表明云安全风险的薄弱安全配置和活动，从而帮助客户保持良好的安全状况。

Oracle Cloud Guard 通过摄取每个区域的资源审计和配置数据，基于检测器规则对其进行处理，并将报告区域中的问题关联起来，从而检测客户租户中的安全问题。已识别的问题将用于生成仪表盘和度量，并且还可能触发一个或多个提供的响应器来帮助解决问题。

响应器可以根据问题来缓解、更正和预防安全问题。

如何启用 Oracle Cloud Guard？

默认情况下，Oracle Cloud Guard 在您的 Oracle Cloud Infrastructure (OCI) 租户环境下可用，您可以通过 OCI Security 控制台访问。以下是首次启用 Oracle Cloud Guard 的步骤：

先决条件：Oracle Cloud Guard 不适用于免费 Oracle Cloud Infrastructure 租户。在尝试启用 Oracle Cloud Guard 之前，请确保您拥有付费租户。

关于先决条件的完整列表，请参阅 https://docs.oracle.com/en-us/iaas/cloud-guard/using/prerequisites.htm

• 从顶层菜单，转至“安全”->“Cloud Guard”
• 点击“启用 Cloud Guard”
• 通过点击“添加语句”，然后按“启用”，添加所需的 Oracle Identity and Access Management (IAM) 策略。
• 您现在应该会看到 Oracle Cloud Guard 概览页。
• 对租户安全配置进行全局评估后，便开始收集数据和更新页面内容。

Oracle Cloud Guard 如何计费？

OCI Configuration 和 OCI Activity 的 Oracle Cloud Guard 为支持的 OCI 服务免费提供。

Oracle Cloud Guard 是区域服务还是全球服务？

Cloud Guard 在区域内实施，并将问题汇总到客户选择的报告区域以提供全局视图。

会监视哪些区域？

租户的所有商业区域都在监视范围内。请点击查看当前支持区域的列表：https://docs.cloud.oracle.com/en-us/iaas/Content/General/Concepts/regions.htm

我可以更改报告区域吗？

可以。您可以通过禁用 Cloud Guard，然后在其他区域启用 Cloud Guard 来更改报告区域。请注意，更改报告区域不会移动您的 Cloud Guard 配置和数据。

报告区域仅能在 CLoud Guard 启用时更改。因此，如果需要更改既有报告区域，请首先禁用 Cloud Guard，然后在重新启用过程中选择同一个或其他报告区域。

请注意，当选择其他报告区域后重新启用 Cloud Guard 时，您可能需要等待大约 20 分钟 — 因为跨区域同步资源会耗费一定的时间。

Oracle Cloud Guard 会否向我显示任何表明我当前安全状况的度量？

是的，Oracle Cloud Guard 在控制台的“概览”页面中提供两个关键度量，即风险评分和安全评分。安全评分是一个介于 0-100 之间的标准化值，它会根据问题的数量、类型和严重性对安全状况进行整体评估。风险评分是对安全评分的补充，它会通过评估所监视资源的总数量、每种资源类型的敏感性以及资源相关问题的严重性来确定租户的总风险敞口。这些指标可帮助用户正确评估哪些环境“小但不安全”以及哪些环境“大但总体安全”。

Oracle Cloud Guard 目前支持哪些类型的合规标准？

Oracle Cloud Guard 符合 OCI 的 CIS 基础基准标准。其他合规特性有望在 GA 之后的版本中提供。

Oracle Cloud Guard 与其他类似 OCI SIEM 的服务和工具之间有何区别？

SIEM 和 Oracle Cloud Guard 是补充服务。Oracle Cloud Guard 通过摄取审计/日志数据和监视资源的配置状态，为 OCI 租户提供安全状况评估和安全监控。默认情况下，Oracle Cloud Guard 提供并启用 OOTB 检测器，以帮助检测资源的问题。基于 SIEM 的服务从资源和应用中摄取日志数据，并为搜索/分析引擎提供支持，以执行取证调查并可能识别新的风险指标或自定义事件发现。Oracle Cloud Guard 的自动修复功能（即响应器）可由 Oracle Cloud Guard 配置和启动，而操作应定义为 SIEM 工具的规则构造的一部分。

Oracle Cloud Guard 如何与我的 SecOps 和事件响应流程集成？

大多数客户都希望将云安全监视与现有流程、程序和人员集成在一起。许多信息安全团队会将 Oracle Cloud Guard 问题与其内部 SIEM 工具集成，从而将 Oracle Cloud Guard 问题与其内部流程联系起来。这些集成可以使用 Oracle Cloud Guard API 和/或现有 OCI Infrastructure 服务，例如 OCI Events、OCI Notifications 和 OCI Functions。Oracle Cloud Guard 可以是触发事件，例如向电子邮件、Slack 和 PagerDuty 以及自定义 OCI Functions 发送问题。客户也可以使用 Events 到 OCI Functions，根据自己的使用场景构建自定义集成或响应。

Oracle Cloud Guard Fusion Applications Detector

什么是 Oracle Cloud Guard Fusion Applications Detector？

Oracle Cloud Guard Fusion Applications Detector 可将 Oracle Cloud Guard 的监视范围扩展到 OCI 云安全状态管理之外，通过监视 Oracle Fusion Cloud Applications 提供全面的安全策略视图。该服务首先面向 Oracle Fusion Cloud Human Capital Management (HCM) 和 Oracle Fusion Cloud Enterprise Resource Planning (ERP) 推出。它提供预定义和自定义配置或“配方”，可监视应用中的潜在安全违规行为。当发生可能影响重要数据访问的，关于用户权限的敏感配置变更（如添加、删除或修改角色和用户的数据和功能权限以及变更敏感对象）时，探测器会触发警报。

Oracle Cloud Guard Fusion Applications Activity Detector 配方 (Oracle 托管) 是一个开箱即用 (OOTB) 的模板，不支持修改。客户可以克隆和编辑自有规则，例如修改名称、更改风险级别、筛选特定用户并监控其活动以及禁用某一规则等等。

Oracle Cloud Guard 只能监视 OCI 上运行的 Fusion Application Pod 吗？

不是。只要 Oracle Cloud Guard 可以触达某一 Pod 的 API 端点，就可以监视该 Pod。

Oracle Cloud Guard 可以监视在 OCI Classic 上运行的 Fusion Application Pod 吗？

可以。只要 Oracle Cloud Guard 可以触达某一 Pod 的 API 端点，就可以监视该 Pod。

Oracle Cloud Guard 是默认启用还是需要 Fusion 客户自行设置？

客户必须先行设置，才能在 OCI 租户中启用 Oracle Cloud Guard。启用 Oracle Cloud Guard 后，Oracle Cloud Guard 中的目标注册流会要求客户提供 Pod URL 以及服务用户的身份证明（需要客户在 Fusion Application 中预先创建）。创建目标并绑定 Fusion Application 配方后，Oracle Cloud Guard 将自动启用监视并在 Fusion Application 用户活动问题发生后触发警报。

能否使用一个 Oracle Cloud Guard 目标监视多个 Fusion Application 实例？

Oracle Cloud Guard 中的一个 Fusion Application 目标可以关联一个 Fusion Application 实例。一个 Fusion Application 实例可以托管多个 Fusion Application 主服务，如 Oracle Fusion Cloud HCM 或 Oracle Fusion Cloud ERP — 具体取决于客户的 Fusion Application 供应和部署首选项。Fusion 应用目标需在 Fusion 应用实例级别进行配置，而不是 Fusion Application 服务级别。因此，虽然无法使用一个 Fusion Application 目标监视多个 Fusion Application 实例，但可以使用一个 Fusion Application 目标检测单个 Fusion Application Pod 中的 Oracle Fusion Cloud HCM 和 Oracle Fusion Cloud ERP 中的事件。

OOTB Fusion 应用探测器配方支持哪种类型的监视？

面向 HCM 的 Oracle Cloud Guard 探测器提供 OOTB 配方，当发生会影响敏感数据访问的，关于用户权限的敏感配置变更（如添加、删除或修改角色和用户的数据和功能权限）时，便会触发警报。Oracle Cloud Guard 还能监视和检测姓名、地址、国籍、残疾等与个人身份识别信息 (PII) 相关的活动，发现有关数据处理、报告或泄漏的任何潜在问题。总之，面向 HCM 的 Oracle Cloud Guard 探测器基本覆盖了角色管理、角色设置、PII 对象管理和访问管理。

客户可以将 Oracle Cloud Access Security Broker (CASB) 策略迁移到 Oracle Cloud Guard 吗？

客户可以使用 Oracle Cloud Guard 中的现有规则或使用 Oracle Cloud Guard 模板创建类似策略。

客户如何在安全信息和事件管理 (SIEM) 中监视报告的 Fusion 问题？

Oracle Cloud Guard 不支持直接集成 SIEM。客户可以使用通知服务、函数服务等 OCI Events 和 Functions 将 Oracle Cloud Guard 与第三方 SIEM 集成在一起。

未部署和使用任何 OCI 服务的客户可以使用 Oracle Cloud Guard 吗？

客户即使未购买和使用任何 OCI 服务也能访问 Oracle Cloud Guard，但必须购买 OCI 租户。