Gestión de las reglas de cumplimiento de CSM Misconfigurations
Cloud Security Management Misconfigurations (CSM Misconfigurations) reglas de cumplimiento predefinidas evalúa la configuración de tus recursos en la nube e identifica posibles errores de configuración a fin de que puedas tomar medidas inmediatas para remediarlos.
Las reglas de cumplimiento siguen la misma lógica condicional que todas las reglas de cumplimiento de la seguridad de Datadog. En CSM Misconfigurations, cada regla se asigna a controles dentro de uno o más marcos de cumplimiento o puntos de referencia del sector.
CSM Misconfigurations utiliza los siguientes tipos de reglas para validar la configuración de tu infraestructura de nube:
Explorar las reglas de cumplimiento predeterminadas
Para filtrar las reglas de cumplimiento predeterminadas por proveedor de nube:
- Ve a la página Reglas de errores de configuración.
- Elige uno de los siguientes valores de la faceta Tag (Etiqueta).
- AWS: cloud_provider:aws
- Azure: cloud_provider:azure
- Google Cloud: cloud_provider:gcp
- Docker: framework:cis-docker
- Kubernetes: framework:cis-kubernetes
La personalización directa de una consulta de configuración en la nube no es compatible en este momento, pero puedes personalizar la forma en que cada regla analiza tu entorno.
En la página Reglas, selecciona una regla para abrir su página de detalles. En Exclude benign activity with suppression queries (Excluir actividades benignas con consultas de supresión), define la lógica de filtrado para la forma en que la regla analiza tu entorno.
Por ejemplo, puedes excluir recursos etiquetados con env:staging
utilizando la función This rule will not generate a misconfiguration if there is a match with any of the following suppression queries (Esta regla no generará un error de configuración si hay una coincidencia con cualquiera de las siguientes consultas de supresión). También puedes limitar el contexto de una determinada regla a los recursos etiquetados con compliance:pci
, utilizando la función Only generate a misconfiguration if there is a match with any of the following queries (Sólo generar un error de configuración si hay una coincidencia con alguna de las siguientes consultas).
Después de personalizar una regla, haz clic en Update Rule (Actualizar regla) en la parte inferior de la página para aplicar los cambios.
Definir objetivos de notificación para las reglas de cumplimiento
Puedes enviar notificaciones en tiempo real cuando se detecte un nuevo error de configuración en tu entorno añadiendo objetivos de notificación. Las opciones disponibles de notificación son:
En la página Reglas, selecciona una regla para abrir tu página de detalles. En la sección Set severity and notifications (Definir gravedad y notificaciones), configurar cero o más objetivos de notificación para cada caso de regla. No se puede editar la gravedad predefinida. Para obtener instrucciones detalladas sobre la configuración de notificaciones para reglas de cumplimiento, consulta Notificaciones.
También puedes crear reglas de notificación que abarquen varias reglas de cumplimiento basadas en parámetros como gravedad, tipos de reglas, etiquetas de reglas, atributos de señal y etiquetas de señal. Esto te permite evitar tener que editar manualmente las preferencias de notificación para reglas de cumplimiento individuales.
Nota: Si se detecta un error de configuración para una regla con notificaciones habilitadas, el error de configuración fallido también aparecerá en el Explorador de señales.
Creación de reglas personalizadas
Puedes crear reglas personalizadas para ampliar las reglas que se aplican a tu entorno, a fin de evaluar tu postura de seguridad. También puedes clonar las reglas de detección predeterminadas y editar las copias (sólo Google Cloud). Para obtener más información, consulta Reglas personalizadas.
Obsolescencia de reglas
Se realizan auditorías periódicas de todas las reglas de cumplimiento para mantener una calidad de señal de alta fidelidad. Las reglas obsoletas se sustituyen por una regla mejorada.
El proceso de obsolescencia de las reglas es el siguiente:
- La regla incluye una advertencia con la fecha de caducidad. En la interfaz de usuario, la advertencia se muestra en la:
- Sección Detalles de la regla > Guía del panel lateral de señales
- Panel lateral de errores de configuración
- Editor de reglas para esa regla específica
- Una vez que la regla se vuelve obsoleta, transcurre un periodo de 15 meses antes de que se elimine la regla. Esto se debe al periodo de conservación de señales de 15 meses. Durante este tiempo, puede volver a habilitar la regla clonando la regla en la interfaz de usuario.
- Una vez eliminada la regla, ya no podrás clonarla ni volver a habilitarla.
Referencias adicionales
Additional helpful documentation, links, and articles: