ビュー:
場所 Main Dashboard > {Account}を選択 > Rules settings > Update rules settings > 設定
Conformityは、ユーザが組織のニーズに合わせてルールの動作を調整できるようにルール設定を提供します。例えば、実行しないルールやその重大度などです。また、一部のルールは実行するために設定が必要ですが、他のルールはデフォルトを利用します。
実行する前に設定が必要なルールの例には、EC2 Desired Instance Type、Approved/Golden AMIs、Security Group Naming Conventionsなどがあります。アカウントにルールを設定すると、管理者権限またはFull Accessを持つ他のアカウントに同じRule settingsをコピーすることができます。
configure-rule-q533dy=7d130621-fd49-47c4-93d0-86770349d2fb.png
[User Access]

構成

ルールを無効にする

必要に応じて[Rule enabled]のチェックを外すことでRuleを無効にできます。Ruleを無効にすると、すべての違反が削除され、Ruleが再度有効になるまでチェックは行われません。

ルールの重大度を割り当て

すべてのRuleにはデフォルトのリスクレベルが関連付けられており、[Rule severity]ドロップダウンから次のオプションのいずれかを選択することで変更できます:
  • Extreme
  • Very high

Time to live

Time to live (TTL) 構成では、チェックAll Checks Reportに表示される期間を指定できます。この構成は、Real-Time Threat Monitoringに特化した特定のルールにのみ利用可能です。
例えば:
  1. ユーザがMFAなしでサインインしました。ルールAWS IAM user has signed in without MFAは、RTM上のイベントを作成し、All Checks Reportにチェックを作成するために、あなたのAWSアカウントに関連するリソースに対して実行されます
  2. このチェックは、ルールのTTL (Time to live) 構成で指定された期間のAll Checks Reportに表示されます
  3. TTLが期限切れになると、チェックは削除されます。次回ユーザがMFAなしでアカウントにサインインすると、新しいチェックが作成されます
  4. ただし、Real-Time Threat Monitoringダッシュボードには引き続き全てのEvent historyが表示されます
注意
注意
TTLは、ConformityのNotificationsサービスが短期間に同じチェックに対して過剰な通知を送信しないように設計されています。チェックに対して最初の通知が送信された後、すでに送信されたものと同一の後続のチェックはTTL期間中に破棄されます。期間が終了すると、そのチェックは再び通知の対象となります。例外がアカウントのRule設定に保存されると、一致するリソースは直ちにチェックから除外されます。

ルールの例外を設定

Ruleの除外を設定することで、提供された除外入力に一致するAWSリソースをRuleがバイパスするようにできます。
注意
注意
例外がアカウントのRule設定に保存されると、一致するリソースは直ちにチェックから除外されます。
例外を設定する方法は次の2つです:
  • [Tags] - 入力としてタグキー、タグ値、またはtag_key::tag_value形式の組み合わせを指定できます
  • [Resource Id] - クラウドプロバイダによって決定される一意のリソース識別子。例外を設定するために正規表現を使用することもできます。
    [Note:] Resource idの形式はリソースの種類によって異なります。Resource idを確認するには、List Checks APIを使用してください。
    [Resource Id Examples]:
    • ほとんどのAWSリソースタイプでは、Resource idはARNです。
    • AWS IAMまたはS3の場合、Resource idはリソース名と一致します。
    • AWS EC2およびVPCの場合、Resource idは通常ランダムに生成されたIdと一致します。例: sg-001234d891234abcd
    • ほとんどのAzureリソースタイプでは、Resource idはフルパスです。例: /subscriptions/1234-1234-1234/resourceGroups/myResourceGroup/providers/microsoft.resource/resourceType/my-resource-name
すべてのルールが例外をサポートしているわけではありません。
注意
注意
Conformityは例外を保存するとすぐに適用します。除外したいリソースを除外するためにRun Conformity Botを実行する必要はありません。
  1. いずれかの入力[Tags]。タグキー、タグ値、またはtagkey::tagvalueの形式で両方の組み合わせを入力できます
  2. または、[Resource ids]を入力

複数のアカウントにルールの変更を適用する

ルール設定を変更し、組織内の他のアカウントまたはすべてのアカウントに同じ設定を適用できます。
  1. 利用可能なルール設定のいずれかまたはすべてに変更を加えます - ルールを無効にする、 ルールの重大度を割り当てる、 または ルールの例外を設定する
  2. [Select other accounts]をクリック
    apply-rule-changes-step-2-wb2yfq=e4d196d7-0635-429d-98ec-345ebd3950fa.png
  3. リストから、ルール変更を適用するアカウントを選択し、[Select accounts]
注意
注意
  1. 監査目的のため、ルール構成に変更を加える際には必ずメモを追加する必要があります。変更は次回のボット実行後に有効になります。
  2. 無効化されたルールはグレー表示され、無効とハイライトされます
  3. 除外が設定されたルール (Resource idまたはタグ) は警告アイコンで識別されます
  4. 実行前に設定が必要なルールは赤いバツアイコンで表示されます。