Ansichten:

Der Arbeitsablauf führt Sie durch das Szenario, in dem Sie zum ersten Mal eine benutzerdefinierte Regel erstellen, ausführen, aktualisieren und löschen.

Workflow 1: Erstellen, Ausführen, Aktualisieren und Löschen einer benutzerdefinierten Regel

Bevor Sie Ihre eigenen benutzerdefinierten Regeln erstellen, wird empfohlen, eine unserer Vorlagen zu verwenden, um die Hauptfunktionen zu demonstrieren.
  1. Duplizieren Sie Ihre erfolgreiche Anfrage „Unternehmensspezifische Regeln abrufen“. Ändern Sie den Anfragetyp in „POST“, benennen Sie sie in „Benutzerdefinierte Regel erstellen“ um und klicken Sie auf Speichern. Dies wird ein POST-Befehl an einen Endpunkt wie https://api.xdr.trendmicro.com/beta/cloudPosture/customRules sein
  2. Unter dem Header "Body" in Postman wählen Sie "Raw" aus, stellen Sie sicher, dass das JSON-Format ausgewählt ist > fügen Sie die untenstehende benutzerdefinierte Regelvorlage ein > klicken Sie auf Speichern. Postman ermöglicht es Ihnen auch, den Anfragetext zu 'verschönern'. Diese Regel ist eine einfache Demoregel, um die Verschlüsselung des S3-Buckets zu überprüfen. 
    {
    "name": "S3 bucket has any Encryption",
    "description": "We want to demonstrate Custom Rules V1",
    "categories": [
        "security"
    ],
    "riskLevel": "MEDIUM",
    "provider": "aws",
    "enabled": true,
    "service": "S3",
    "resourceType": "s3-bucket",
    "remediationNote": "To remediate, follow these steps:\n1. Step one \n2. Step two\n",
    "attributes": [
        {
            "name": "bucketEncryption",
            "path": "data.Encryption",
            "required": true
        }
    ],
    "eventRules": [
        {
            "conditions": {
                "all": [
                    {
                        "fact": "bucketEncryption",
                        "operator": "notEqual",
                        "value": null
                    }
                ]
            },
            "description": "Bucket has encryption enabled"
        }
    ]
}
  3. Klicken Sie auf Speichern und Senden. Bei Erfolg wird eine 201 HTTP-Antwort zurückgegeben. Sie haben die benutzerdefinierte Regel nun in Ihrer Organisation gespeichert. Die Regel wird nun automatisch im Rahmen des regulären Cloud Risk Management-Durchsuchungsprozesses gegen die Ressourcendaten in jedem Ihrer relevanten Cloud-Konten (in diesem Fall AWS) ausgeführt.
  4. To verify, go back to the previous ‘Get company custom rules’ query and run that request again. You should now see data returned in the response detailing the saved rule.
  5. Optional (umgebungs- und zeitabhängig - andernfalls zum nächsten Abschnitt springen): Sie können das Cloud Risk Management eine Ihrer Cloud-Konten DURCHSUCHEN lassen. Die gespeicherte benutzerdefinierte Regel wird automatisch beim nächsten Scan übernommen und erzeugt Prüfungen im gleichen Format wie jede andere Regel.
  6. Empfohlen (Fehlerbehebungshinweis): Wenn Sie die Überprüfungen in der Konsole anzeigen möchten, aktualisieren Sie das Browserfenster, nachdem Sie die benutzerdefinierte Regel erstellt haben, um sicherzustellen, dass die Cloud Risk Management Webanwendung die notwendigen Daten lädt, um die Überprüfungen korrekt anzuzeigen. Die Cloud Risk Management Anwendung lädt möglicherweise nur einige der notwendigen Daten, um die Überprüfungen korrekt anzuzeigen, ohne diese Aktualisierung.
  7. Nach dem Aktualisieren des Browsers klicken Sie auf das Cloud-Konto auf der Seite Cloud Risk Managementt > Misconfiguration and Compliance und klicken Sie auf „Alle Prüfungen durchsuchen“. Filtern Sie mit der benutzerdefinierten Regel-ID, um Ihre erste benutzerdefinierte Regel live und aktiv in Ihrem Konto zu sehen.

Aktualisieren, testen, deaktivieren und löschen einer vorhandenen gespeicherten benutzerdefinierten Regel

Sie können gespeicherte benutzerdefinierte Regeln aktualisieren, deaktivieren und dauerhaft löschen. Sie können bestehende benutzerdefinierte Regeln für grundlegende Konfigurationsänderungen (z. B. riskLevel oder Kategorie) oder umfangreichere Änderungen, einschließlich der Regel-Logik, aktualisieren. Aktualisierte Regeln behalten die Überprüfungen bei, bis die neueste Logik ausgeführt wird.
Hinweis: Das Löschen von Regeln wird NICHT sofort alle zugehörigen Daten ändern, z. B. das Löschen/Entfernen von zugehörigen Überprüfungen. Wir empfehlen, dass Sie zuerst die Regel deaktivieren, d. h. aktiviert: false, und den Cloud Risk Management-Scan einen Zyklus lang zulassen, bevor Sie löschen. Dies ermöglicht es dem Scan, zugehörige Überprüfungen zu entfernen und alle zugehörigen Aufgaben abzuschließen, z. B. Statistiken aktualisieren, erstellte JIRA/ServiceNow-Tickets schließen usw.
  1. Duplizieren Sie die POST-Anfrage mit dem Namen „Benutzerdefinierte Regel erstellen“, ändern Sie sie in eine PATCH-Anfrage und benennen Sie sie in „Benutzerdefinierte Regel aktualisieren“ um.
  2. Fügen Sie /<custom-rule-id> an die URL an, z. B. https://api.xdr.trendmicro.com/beta/cloudPosture/customRules/CUSTOM-QqVHDF6JVdUE
  3. Ändern Sie den Hauptteil der Regelvorlage, indem Sie: a. Werte für Name (nennen Sie die Regel, wie Sie möchten) und RisikoLevel (z.B. ändern Sie zu NIEDRIG) ändern. b. Unter Regeln → Bedingungen → alle → Operator, ändern Sie notEqual zu equal (dies wird die Logik der Regel umkehren).
  4. Klicken Sie auf Speichern und Senden. Die bestehende Regel wird aktualisiert und in der Antwort angezeigt. Sie können dies bestätigen, indem Sie „Unternehmensspezifische Regeln abrufen“ erneut ausführen.
  5. Testen Sie die neu aktualisierte Regel, indem Sie Test custom rule configuration ausführen - Sie sollten bemerken, dass eine ERFOLG-Prüfung die frühere FEHLER-Prüfung ersetzt. Wenn Sie die Regel mit dem Cloud Risk Management-Durchsuchen ausführen lassen, werden Sie sehen, dass die Daten der Prüfungen aktualisiert werden.
  6. Als abschließende Bereinigung werden wir die gespeicherte Regel deaktivieren und löschen. Zuerst werden wir die gespeicherte Regel deaktivieren, wodurch der Cloud Risk Management-Scan Aufgaben im Zusammenhang mit der Entfernung von Prüfungen übernehmen kann, z. B. das Löschen verwandter Prüfungen, das Aktualisieren von Statistiken, das Schließen erstellter JIRA/ServiceNow-Tickets usw. Wenn keine Prüfungen für die benutzerdefinierte Regel erstellt wurden, fahren Sie mit Schritt 8 fort, um die benutzerdefinierte Regel dauerhaft zu löschen. Ändern Sie den Inhalt der PATCH-Anfrage 'Benutzerdefinierte Regel aktualisieren' und setzen Sie die Eigenschaft 'Aktiviert' auf 'false'.
  7. Klicken Sie auf Senden. Die bestehende Regel wird aktualisiert, wie in der Antwort gezeigt. Sie können dies bestätigen, indem Sie 'Unternehmensspezifische Regeln abrufen' erneut ausführen
  8. Erlauben Sie dem Cloud Risk Management DURCHSUCHEN, einen vollständigen Zyklus über die Konten auszuführen, die mit Ihrer benutzerdefinierten Regel verbunden sind.
  9. Duplizieren Sie die PATCH-Anfrage zum Aktualisieren der gespeicherten Regel, ändern Sie sie in eine DELETE-Anfrage und benennen Sie die neue Anfrage in „Benutzerdefinierte Regel löschen“ um.
  10. Sie können den Textkörper löschen (optional), stellen Sie sicher, dass die URL die benutzerdefinierte Regel-ID enthält, die Sie aus Ihrem Unternehmen löschen möchten, klicken Sie auf Speichern und Senden. Sie können dies überprüfen, indem Sie die Abfrage 'Unternehmensspezifische Regeln abrufen' erneut ausführen, um zu sehen, ob das Array der benutzerdefinierten Regeln leer ist.