はじめに
OCIのCSPMであるCloud Guardを設定して、OCIの状態を監視し、何らかのイベントがあったらSlackに通知するようにします。
Cloud Guardの設定
有効化
OCIのコンソールからCloud Guardを有効化します。
ポリシーの作成をクリックすると、必要なポリシーを設定してくれます。
ここでは検出結果を管理するリージョンと対象のコンパートメントを設定します
ディテクタレシピは「どこで何が起きたら」を定義します。ここではオラクルがデフォルトで定義しているレシピを選択します。
有効化すると、このように画面が変わります。
ポリシーも確認すると、このように追加されています。
ターゲット構成の設定
構成のターゲットからターゲットを設定します。
ディテクタ・レシピ
Cloud Guardを有効化したした際に設定したレシピに加えて、脅威ディテクタ・レシピを追加します
レスポンダ・レシピ
レスポンダ・レシピは、ディテクタ・レシピによって検出したイベントがあったら、「どうするか」を定義します。
これもオラクルがデフォルトで定義しているレシピを設定します。
レスポンダ・レシピで定義されているルールを確認し、Cloud Eventが有効になっていることを確認します。
このあと設定する通知で必要になります
通知の設定
Notifications
任意の名称でNotificationsのトピックを作成し、サブスクリプションを作成します。
サブスクリプションはSlackを選択し、URLにIncoming WebHookのURLを指定します。
設定すると登録したChannelにサブスクライブするようにメッセージが来るので、URLをクリックします。
クリックすると、サブスクリプションの状態が保留中から「アクティブ」に変わります
Events
このようにしてルールを作成します。
今回はriskLevelがCRITICALとHIGHだけ通知するようにしました。
テスト
ObjectStorageをPublicにして、通知されるか確認します。
このようにCRITICALの問題が検出されています。
Slackにも通知されています。
