Conformityカスタムルールの概要

• Conformity Custom Rulesは、OrganizationのAPIユーザがAPIを介してカスタムルールを作成、更新、削除、取得、および実行することを可能にします。
  • APIを介したカスタムルールの作成および更新は、リクエスト本文ペイロードの一部としてConfiguration Settingsをサポートし、[organization]に保存されます。
    • カスタムルールのドキュメントには、APIリクエスト本文を構築するのに役立つカスタムルールテンプレートの例のライブラリが含まれています。
    • APIドキュメントには、ユーザがJSON構造を参照するために使用できるクラウドリソースデータの例のテンプレートも含まれています。
    • サンプルテンプレートに加えて、ユーザはアカウント内の既存のクラウドリソースデータをクエリして、リソースデータのJSON構造をさらに参照することができます。
• 特定のリソースタイプまたは条件セットに対して非常に具体的なチェックを作成するために設計されたConformity Custom Rulesは、リソースデータをクエリするための十分に文書化されたJSON構文であるJSONとjsonpathの組み合わせを使用し、ルールのロジック/評価プロセスの一部として使用されます。
• Conformity Custom Rulesは、1つのカスタムルールの一部として構成される単一のリソースに対して複数のルールと条件をサポートします。
• カスタムルールチェックは、リソースタイプ、Resource id、タグなど、既製ルールと同じ幅広いパラメータに基づいてフィルタリングできます。カスタムルールは、選択したリソースのリソースデータに含まれる任意のデータを評価することもできます。
• 柔軟でオープンなフレームワークとして、複数の条件をネストおよび関連付けることを含む、非常に複雑で特定のロジックを作成することが可能です。
• カスタムルールを保存する前に、ダミーデータを使用してドライランすることができます。
• ‘dry run’エンドポイントを使用して、独自のOrganizationリソースデータを照会し、カスタムRuleロジックを作成するためのレファレンスとして使用することもできます。
• カスタムルールに修復手順を含めることができ、アプリケーションおよびPDFレポートのカスタムルールチェックデータと一緒に表示されます。
• Conformity Custom Rulesは、基本的なデータ検証とエラーハンドリングをサポートします。
• Conformity BotまたはRTMによって実行されると、カスタムルールチェックはConformityコンソールに表示されます。
  • カスタムルールは現在、以下の既存のチェックによってサポートされています:
    • ブラウジングおよびフィルタリングチェック
    • Reports
    • 通信チャネル
    • 抑制

• カスタムルールをOrganizationで有効にするには、alloftrendproduct-conformity@trendmicro.comにメールを送信してアクセスをリクエストしてください。
  • リクエストに以下の詳細を提供してください:
    • ConformityのOrganizationアカウントの名前
    • アクセスがCloud One経由であれ、Conformity Standalone (つまりcloudconformity.com) 経由であれ
    • 主要な連絡先を一覧表示
• 管理者ユーザであり、APIキーを設定していることを確認してください。
• カスタムルールAPIに慣れるために、API管理ツール (例: Postman) を使用して、テストおよび実装中にAPIペイロードをより簡単に保存、再利用、および管理することを強くお勧めします。
• より完全な使用例と利用可能なAPIエンドポイントの詳細については、[Custom Rules API documentation]を参照してください。
• 入門ガイドとワークフローの例については、Conformity Custom Rulesの使い方を参照してください

• 属性: ユーザ定義の属性名と、それに関連するリソース値のコレクションで、Ruleのロジック/評価の一部として使用されます
• rules*: カスタムルールのルールセット
• conditions*: ルールセットの条件オブジェクト
• facts*: 値が見つかる関連属性名
• events: ルールセットの名前または説明。

• name: カスタムRuleの名前またはタイトル
• 説明: オプションの説明値
• 重大度: カスタムRuleのリスク/重大度レベルは、次のいずれかになります: 低、中、高、Very high。
• categories: カテゴリのベストプラクティスの柱の文字列の配列で、次のいずれかになります: security, reliability, performance-efficiency, cost-optimisation, operation-excellence.
• 修復メモ: 修復に関連するメモや手順の任意のテキスト説明。
• 有効: ルールのステータスを示すブール値。無効なルール (つまり、有効がfalseに設定されている場合) は、Conformity BotやReal-Time Threat Monitoring (RTM) によって実行されません。
• プロバイダ: クラウドプロバイダ (例: aws, azure, gcp)。完全なリストについては、Conformity Providers Endpointを参照してください

• サービス: クラウドプロバイダサービス名 (例: S3)。サポートされているサービスの完全なリストについては、Conformity Services Endpointを参照してください。
• resourceType: このカスタムルールが適用されるリソースのタイプ (例: s3-バケット)。完全なリストについては、Conformity Resource Types Endpointを参照してください
• 属性: (オブジェクトの配列)
• name: ユーザはパスクエリの結果の値に定義され、この値はRule条件への事実入力として使用されます
• path: リソース値へのjsonpath構文
• required: ルールを実行するためにこのデータ値が必要かどうかを決定するブール値。requiredがtrueに設定されていて、属性パスの結果が未定義の場合、必要なデータがないためルールは実行されません。データが未定義であることが予想される場合、requiredをfalseに設定すると、ルールはそのまま実行されます。

• rules: (array) カスタムRuleには複数のルールセットを含めることができます
• 条件 (オブジェクト): 各条件はルートにallまたはanyで始める必要があります。
• any/all (配列): これらの条件はネストできます (以下の例を参照)
• 事実: 属性値は、一致する属性名を持っている必要があります
• オペレーター:
  • パラメータ:
    • 文字列 (equal, notEqual, pattern)* 注: patternは正規表現 (regex) に一致するカスタムオペレーターです
    • 数値 (equal, notEqual, lessThan, lessThanInclusive, greaterThan, greaterThanInclusive)
    • 配列 (in, notIn, contains, doesNotContain)
    • value: 属性の期待値。結果が真であれば、条件は合格します。
• path: ネストされた値のためのjsonpath構文
• イベント:
  • パラメーター:
    • type: これは必要なルールセットに対して返される値です

• pattern: factはvalueに設定された正規表現パターンを通過する必要があります

• equal: ファクトは値と等しくなければなりません
• notEqual: 値と等しくない必要があります

• lessThan: 値は基準値未満でなければなりません
• lessThanInclusive: 値は指定された値以下でなければなりません
• greaterThan: 値は指定された値より大きくなければなりません
• greaterThanInclusive: 値は指定された値以上でなければなりません

• in: 値 (配列) に事実が含まれている必要があります
• notIn: factは値 (配列) に含まれてはなりません
• contains: fact (配列) には値が含まれている必要があります
• doesNotContain: fact (配列) には値を含めないでください

• isNullOrUndefined: 値がtrueの場合、factはnullまたはundefinedでなければなりません

• dateComparison: 日付ファクトを比較するための演算子
  • valueはdaysとoperatorプロパティを含むオブジェクトである必要があります
    • days: 実際の日付と比較する日数
    • operator: 比較に使用するオペレーター。次のいずれかを指定できます: within, olderThan
  • 例:

    {
      "fact": "CreationDate",
      "operator": "dateComparison",
      "value": 
        {
          "days": 30,
          "operator": "within"
        }
    }

{
  "region": "ap-southeast-2",
  "resource": "bobs-website-bucket",
  "ccrn": "ccrn:aws:abc123ABC-:S3:ap-southeast-2:bobs-website-bucket",
  "status": "SUCCESS",
  "message": "S3 Bucket bobs-website-bucket passed 'Bucket has encryption enabled' and 1 more rule condition.",
  "extradata": [
    {
      "name": "successEvent",
      "label": "Passed Condition Event",
      "value": "Bucket has encryption enabled",
      "type": "META"
    },
    {
      "name": "successEvent",
      "label": "Passed Condition Event",
      "value": "Bucket has versioning enabled",
      "type": "META"
    }
  ]
}

{
  "region": "ap-southeast-2",
  "resource": "bobs-website-bucket",
  "ccrn": "ccrn:aws:abc123ABC-:S3:ap-southeast-2:bobs-website-bucket",
  "status": "FAILURE",
  "message": "S3 Bucket bobs-website-bucket failed 'Bucket has encryption enabled' and 1 more rule condition.",
  "extradata": [
    {
      "name": "failedEvent",
      "label": "Failed Condition Event",
      "value": "Bucket has encryption enabled",
      "type": "META"
    },
    {
      "name": "failedEvent",
      "label": "Failed Condition Event",
      "value": "Bucket has versioning enabled",
      "type": "META"
    }
  ]
}

• パラメーターを使用してカスタムルールrunエンドポイントを実行中
• POST /custom-rules/run?accountId={accountId}&id={ruleId} - このルートにルールIDを使用してPOSTすると、指定されたアカウントに対してこのRuleが実行され、結果がレスポンスの一部として返されます。
• POST /custom-rules/run?accountId={accountId} - このルートにルール設定をリクエスト本文の一部として投稿すると、このルール設定が実行され、結果がレスポンスの一部として返されます。
• POST /custom-rules/run - このルートにルール構成とリソースデータをリクエスト本文の一部として投稿すると、提供されたリソースデータに対してこのルール構成が実行され、結果がレスポンスの一部として返されます。
• POST /custom-rules/run?accountId={accountId}&resourceData=true - このルートに特定のResource idを含むルール設定リクエスト本文をPOSTすると、リソースデータとチェック結果が返されます。

• カスタムルールをOrganizationで有効にするには、alloftrendproduct-conformity@trendmicro.comにメールを送信してアクセスをリクエストしてください。
  • リクエストに以下の詳細を提供してください:
    • ConformityのOrganizationアカウントの名前
    • アクセスがCloud One経由であれ、Conformity Standalone (つまりcloudconformity.com) 経由であれ
    • 主要な連絡先を一覧表示
    • 共有製品のSlackチャンネルに追加されるメールアドレスを持つユーザのリスト
    • これはカスタムルールに関する質問やフィードバックを提供するためのフォーラムです。

{
  "configuration": {
    "name": "S3 encrypted and public access block - with safelist for 'test'",
    "description": "Check S3 has encryption AND public access block, but safelist 'test' buckets",
    "service": "S3",
    "resourceType": "s3-bucket",
    "severity": "HIGH",
    "enabled": true,
    "provider": "aws",
    "categories": [
      "security"
    ],
    "remediationNotes": "To remediate, follow these steps:\n1. Do as you wish \n2. Step two\n",
    "attributes": [
      {
        "name": "bucketEncryption",
        "path": "data.Encryption",
        "required": true
      },
      {
        "name": "publicAccessBlockConfiguration",
        "path": "data.PublicAccessBlockConfiguration",
        "required": true
      },
      {
        "name": "safeList",
        "path": "data.resourceId",
        "required": true
      }
    ],
    "rules": [
      {
        "conditions": {
          "any": [
            {
              "fact": "safeList",
              "operator": "pattern",
              "value": ".*test.*"
            },
            {
              "all": [
                {
                  "fact": "bucketEncryption",
                  "operator": "notEqual",
                  "value": null
                },
                {
                  "fact": "publicAccessBlockConfiguration",
                  "operator": "notEqual",
                  "value": null
                }
              ]
            }
          ]
        },
        "event": {
          "type": "Bucket has encryption enabled"
        }
      }
    ]
  }
}

• https://goessner.net/articles/JsonPath/
• jsonpath-plus
• JsonPath評価ツール