ビュー:
2021年11月4日、Conformity—以下の機能と更新が2021年11月4日にConformityにリリースされました。
  • カスタムチェックAPIは、ユーザーがチェックを自動削除/期限切れにするためのTTLフィールドを指定できるようになりました。
  • 以前はGet Check Details APIとUIを通じて利用可能だったチェックの追加データが、CSVレポートのMeta列に含まれるようになりました。
  • RTM eventBridgeルールを改善し、データイベントを除外しました。
バグ修正
  • Jira通信チャネルの設定において、無効な優先度でテストを行った際に保存ボタンとテストボタンが動作しなくなる問題を修正しました。
  • 「Create Account」パブリックAPIのパフォーマンスが向上し、応答時間が短縮されました。
  • Checks API Referenceドキュメントのペイロード応答例に、欠落していたメタデータ、ページ番号、およびサイズを追加しました。
  • すべてのクラウドアカウントのチェックを表示する際に、対応するチケットチャネルを表示するバグを修正しました。
カスタムポリシーの更新
新しい展開の結果としてカスタムポリシーが更新されました。現在のカスタムポリシーのバージョンは1.33です。追加された権限は次のとおりです:
  • macie2:GetClassificationExportConfiguration
  • macie2:ListClassificationJobs
  • macie2:GetFindingStatistics
ここをクリックして最新のカスタムポリシーにアクセスしてください
新しいルール
AWS
  • S3-029: S3のAmazon Macie検出統計: このルールは、S3バケットごとのAmazon Macieセキュリティ検出に関する統計の概要を取得します。
  • Macie2-002: Amazon Macie機密データリポジトリ: このルールは、各AWSリージョン内でAmazon Macie用のデータリポジトリバケットが定義されていることを保証します。
  • Macie2-003: Amazon Macie Discovery Jobs: このルールは、Amazon Macieデータディスカバリージョブが各AWSリージョン内で作成および設定されることを保証します。
Azure
  • SecurityCenter-029: Azure Security Centerの通知用追加メールアドレスの設定: このルールは、セキュリティ通知を受信するための追加メールアドレスが提供されていることを確認します。
ルールアップデート
  • SSM-003: SSM管理インスタンスのチェック: '停止'状態のEC2インスタンスに対してチェックを行わないようにルールを更新しました。
  • IAM-054: IAM構成変更: このルールに対して活動がチェックされないユーザー (IAMUser、AssumedRole、またはFederatedUser) のARNの正規表現を設定するための新しいルール構成を追加します (例: ^(arn:aws:iam::\\d{12}:user\\/James-.+)$)
  • RTM-011: 意図しないAWS APIコールが検出されました: このルールは現在、PasswordRecoveryRequested、PasswordRecoveryCompleted、PasswordUpdatedルートユーザーイベントをサポートしています。
  • S3-026とS3-027のデフォルトリスクレベルを更新しました
これらのルールのデフォルトのリスクレベルを更新し、アラームノイズを減らし、バケットの公開アクセスの制御を行う他のS3ルールからのより関連性の高い通知を提供します。
  • S3-026: S3バケットのS3パブリックアクセスブロックを有効にする - 非常に高いから中程度へ。
  • S3-027: AWSアカウントのS3パブリックアクセスブロックを有効化 - '非常に高い'から'低い'へ。
アカウント管理者は、S3ブロックパブリックアクセス機能を使用してバケットへのパブリックアクセスを制限することはできますが、バケットへのパブリックアクセスを許可することはできません。パブリックアクセスを許可するためには、ポリシーまたはACLを使用して特定のアクセスポイントとバケットを開く必要があります。したがって、ルールS3-026およびS3-027のチェックに失敗し、非常に高い重大度でバケットの露出を過大評価することになります。
中と低の重大度は、それぞれ非常に高い重大度のルールS3-001、S3-002、S3-003、S3-004、S3-005、およびS3-014がバケットへの公共アクセスを直接制御するため、露出のより近い描写を提供します。
詳細については、Block Public AccessおよびAccess Control Block Public Accessに関するAWSドキュメントを参照してください。
バグ修正
  • IAM-17: 未使用のIAMグループ: IAM-017ルールに対してRTMが誤検知結果を生成するバグを修正しました。
  • 以下のルールに対して重複した通知が生成されるバグを修正しました:
  • VirtualMachines-001: ブートディスクボリュームの暗号化を有効にする
  • VirtualMachines-002: 非ブートディスクボリュームの暗号化を有効にする
  • VirtualMachines-003: 未接続ディスクボリュームの暗号化を有効にする
  • EBSサービスが大量のEBSスナップショットを持つユーザーに対して古いチェックを保持していたバグを修正しました。
  • ELB関連のルールがRTMイベントによってトリガーされないバグを修正しました。TerraformプランにAWS KMSキーリソースDBインスタンスリソースのサポートを追加しました。
  • IAM-047: IAMマネージャーロール: ルールに対して誤検知が生成されるバグを修正しました。