カスタムルール

このサイトでは、クラウドセキュリティポスチャ管理は利用できません。

Join the Beta!

カスタム CSPM ルールの作成と使用はベータ機能であり、一部の Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platform (GCP) クラウドリソースで利用できます。詳細については、クラウドリソーススキーマのドキュメントを参照してください。新しいクラウドリソースは、ベータ期間中に追加される予定です。

概要

自分の環境に適用されているルールを拡張してセキュリティポスチャを評価するために、検出ルールを複製してその複製を編集したり、独自のルールをゼロから作成したりすることができます。

ルールの複製

ルールを複製するには

  1. 次のいずれかの方法でコピーしたいルールを探します。
  2. 新しいルールのために必要な変更を行います。
  3. 詳細ページの一番下までスクロールして、Clone Rule をクリックします。

ルールの作成

ルールを一から作成するには

  1. Datadog で、Security > Posture Management に移動し、Detection Rules をクリックします

  2. 右上の New Rule をクリックします。

  3. ルールの種類として、Cloud Configuration を選択します。

  4. ルールを記述するクラウドリソースタイプを指定します。

  5. Policy as Code 言語である Rego を使用して、ゼロから、または Datadog のテンプレートを使用して、ルールロジックを記述します。詳しくは、Rego によるカスタムルールの作成を参照してください。リソースを “pass”、“fail”、“skip” としてマークすることができることに注意してください。マークを付けなかった場合、リソースは “skip” として解釈されます。

    カスタムルールの手順
  6. 特定のリソースを所見から除外するクエリを指定することで、良性のアクティビティを除外することができます。

  7. リソースを選択し、Test Rule をクリックすることで、ルールのロジックを検証することができます。どのリソースが合格し、失敗したかを、対応するリソースタグとともに確認できます。

  8. ルールの重大度 (CriticalHighMediumLow、または Info) を指定します。

  9. ファセットを選択し (リソースタイプごと、アカウント ID ごとなど)、シグナルを送る通知先を指定します。

  10. Say what’s happening では、通知のための説明を書き、通知オプションを使用して有用なものにします。詳しくは、通知をご覧ください。

  11. 結果の所見に適用するタグを指定します。詳しくは、所見のタグ付けを参照してください。

  12. Save Rule をクリックします。

    カスタムルールの手順

所見のタグ付け

CSPM 検出ルールを作成、複製、または修正するときに、所見に適用するタグを指定して、所見をタグでグループ化、フィルター、および検索できるようにすることができます。ルールを複製する場合、一部のタグは新しいルールに引き継がれ、他のタグは引き継がれません (以下の表を参照)。

ほぼすべての Key-Value をタグとして割り当てることができます。次の表は、一般的なセキュリティシナリオで有用なタグを示したものです。

キー有効な値説明
scoredtruefalse組織の総合的なポスチャスコアを計算するときに、ルールを含めるかどうかを示します。複製されたルールに自動的に追加されます。
securitycomplianceセキュリティシグナルページでの所見を分類しています。削除はできません。
requirement文字列カスタムルールでは許可されません。コンプライアンスフレームワークに関連する要件を示します。コンプライアンスフレームワークの一部でないルールにこれを追加しないでください。
cloud_providerawsgcpazure削除できません。リソースの種類によって自動的に設定されます。
control文字列カスタムルールでは許可されません。コンプライアンスフレームワークに関連する制御を示します。コンプライアンスフレームワークの一部でないルールにこれを追加しないでください。
sourceCSPM Findings の Source ファセットに記載されている、クラウドプロバイダーから提供された定義済みのセットからの文字列削除できません。複製されたルールに自動的に追加されます。クラウドプロバイダーごとにルールをグループ化することができます。
framework文字列カスタムルールには許可されません。ルールが属するコンプライアンスフレームワークを示します。複製されたルールには自動的に追加されません。

その他の参考資料