- 重要な情報
- アプリ内
- インフラストラクチャー
- アプリケーションパフォーマンス
- 継続的インテグレーション
- ログ管理
- セキュリティ
- UX モニタリング
- 管理
カスタム CSPM ルールの作成と使用はベータ機能であり、一部の Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platform (GCP) クラウドリソースで利用できます。詳細については、クラウドリソーススキーマのドキュメントを参照してください。新しいクラウドリソースは、ベータ期間中に追加される予定です。
自分の環境に適用されているルールを拡張してセキュリティポスチャを評価するために、検出ルールを複製してその複製を編集したり、独自のルールをゼロから作成したりすることができます。
ルールを複製するには
ルールを一から作成するには
Datadog で、Security > Posture Management に移動し、Detection Rules をクリックします。
右上の New Rule をクリックします。
ルールの種類として、Cloud Configuration を選択します。
ルールを記述するクラウドリソースタイプを指定します。
Policy as Code 言語である Rego を使用して、ゼロから、または Datadog のテンプレートを使用して、ルールロジックを記述します。詳しくは、Rego によるカスタムルールの作成を参照してください。リソースを “pass”、“fail”、“skip” としてマークすることができることに注意してください。マークを付けなかった場合、リソースは “skip” として解釈されます。
特定のリソースを所見から除外するクエリを指定することで、良性のアクティビティを除外することができます。
リソースを選択し、Test Rule をクリックすることで、ルールのロジックを検証することができます。どのリソースが合格し、失敗したかを、対応するリソースタグとともに確認できます。
ルールの重大度 (Critical、High、Medium、Low、または Info) を指定します。
ファセットを選択し (リソースタイプごと、アカウント ID ごとなど)、シグナルを送る通知先を指定します。
Say what’s happening では、通知のための説明を書き、通知オプションを使用して有用なものにします。詳しくは、通知をご覧ください。
結果の所見に適用するタグを指定します。詳しくは、所見のタグ付けを参照してください。
Save Rule をクリックします。
CSPM 検出ルールを作成、複製、または修正するときに、所見に適用するタグを指定して、所見をタグでグループ化、フィルター、および検索できるようにすることができます。ルールを複製する場合、一部のタグは新しいルールに引き継がれ、他のタグは引き継がれません (以下の表を参照)。
ほぼすべての Key-Value をタグとして割り当てることができます。次の表は、一般的なセキュリティシナリオで有用なタグを示したものです。
| キー | 有効な値 | 説明 |
|---|---|---|
scored | true、false | 組織の総合的なポスチャスコアを計算するときに、ルールを含めるかどうかを示します。複製されたルールに自動的に追加されます。 |
security | compliance | セキュリティシグナルページでの所見を分類しています。削除はできません。 |
requirement | 文字列 | カスタムルールでは許可されません。コンプライアンスフレームワークに関連する要件を示します。コンプライアンスフレームワークの一部でないルールにこれを追加しないでください。 |
cloud_provider | aws、gcp、azure | 削除できません。リソースの種類によって自動的に設定されます。 |
control | 文字列 | カスタムルールでは許可されません。コンプライアンスフレームワークに関連する制御を示します。コンプライアンスフレームワークの一部でないルールにこれを追加しないでください。 |
source | CSPM Findings の Source ファセットに記載されている、クラウドプロバイダーから提供された定義済みのセットからの文字列 | 削除できません。複製されたルールに自動的に追加されます。クラウドプロバイダーごとにルールをグループ化することができます。 |
framework | 文字列 | カスタムルールには許可されません。ルールが属するコンプライアンスフレームワークを示します。複製されたルールには自動的に追加されません。 |
