Información general

Para ampliar las reglas que se aplican a tu entorno a fin de evaluar tu postura de seguridad, puedes clonar reglas de cumplimiento y editar las copias, y también puedes crear tus propias reglas desde cero. Para ver la lista de los tipos de recursos disponibles para tus reglas personalizadas, consulta Esquema de recursos en la nube.

Reglas de clonación

Para clonar una regla:

  1. Busca la regla que quieres copiar realizando una de las siguientes acciones:
  2. Realiza los cambios que quieras para tu nueva regla.
  3. Desplázate hasta la parte inferior de la página de detalles y haz clic en Clone Rule (Clonar regla).

Creación de reglas

Para crear una regla desde cero:

  1. Ve a la página Reglas de errores de configuración.

  2. Haz clic en New Rule (Nueva regla) en la parte superior derecha.

  3. Selecciona Cloud Configuration (Configuración en la nube), como tipo de regla.

  4. Especifica los tipos de recursos de nube para los que estás escribiendo la regla.

  5. Escribe la lógica de la regla utilizando Rego, un lenguaje de política-como-código, ya sea desde cero o utilizando la plantilla de Datadog. Para más información, consulta Escribir reglas personalizadas con Rego. Ten en cuenta que puedes marcar un recurso como “aprobado”, “fallado” u “omitir”. Si no marcas un recurso, se interpretará como “omitir”.

    Pasos para las reglas personalizadas
  6. Excluye la actividad benigna especificando consultas para incluir o eliminar determinados recursos de los errores de configuración.

  7. Confirma la lógica de tu regla seleccionando recursos y haciendo clic en Test Rule (Probar regla). Observa qué recursos se han aprobado y cuáles no, junto con las etiquetas (tags) del recurso correspondiente.

  8. Especifica una gravedad (Critical, High, Medium, Low o Info) para la regla.

  9. Selecciona una faceta (por ejemplo, para cada tipo de recurso o para cada ID de cuenta) y especifica un destino de notificación para señalar.

  10. En Say what’s happening (Cuéntanos que está sucediendo), escribe una descripción para la notificación, utilizando las opciones de notificación para hacerla útil. Para obtener más detalles, consulta Notificaciones.

  11. Especifica etiquetas para aplicarlas a los errores de configuración resultantes. Para obtener más información, consulta Etiquetado de errores de configuración.

  12. Haz clic en Save Rule (Guardar regla).

    Pasos para las reglas personalizadas

Etiquetado de errores de configuración

Al crear, clonar o modificar reglas de cumplimiento de CSM Misconfigurations, puedes especificar etiquetas para que se apliquen a los errores de configuración, de modo que puedas agrupar, filtrar y buscar errores de configuración utilizando esas etiquetas. Al clonar una regla, algunas etiquetas se transfieren a la nueva regla y otras no (consulta la siguiente tabla).

Puedes asignar casi cualquier clave-valor como etiqueta. La siguiente tabla muestra etiquetas que son útiles en escenarios de seguridad comunes.

ClaveValores válidosDescripción
scoredtrue, falseIndica si se debe incluir la regla al calcular la puntuación de postura general de la organización. Se añade automáticamente a las reglas clonadas.
securitycomplianceCategoriza los errores de configuración en la página de señales de seguridad. No se puede eliminar.
requirementCadenaNo permitido para reglas personalizadas. Indica un requisito relacionado con un marco de cumplimiento. No la añadas a reglas que no formen parte de un marco de cumplimiento.
cloud_provideraws, gcp, azureNo se puede eliminar. Se define automáticamente en función del tipo de recurso.
controlCadenaNo permitido para reglas personalizadas. Indica un control relacionado con un marco de cumplimiento. No la añadas a reglas que no formen parte de un marco de cumplimiento.
sourceCadena de un conjunto definido dado por los proveedores de nube como se muestra en la faceta de origen en el Explorador de errores de configuración.No se puede eliminar. Se añade automáticamente a las reglas clonadas. Facilita la agrupación de reglas por proveedor de nube.
frameworkCadenaNo permitido para reglas personalizadas. Indica el marco de cumplimiento al que pertenece la regla. No se añade automáticamente a las reglas clonadas.

Referencias adicionales