有効なTrend Vision Oneカスタムルールを作成した後、ローカルファイルまたはOCIレジストリを使用して、Container Securityにカスタムルールを有効化およびインポートできます。
ConfigMapを使用してインポート
-
次のコマンドでConfigMapを作成します。
kubectl create configmap custom-rules-config --from-file=customRulesFile.yaml -n trendmicro-system
-
オーバーライドファイルでConfigMapを指定してカスタムルール機能を有効にします。
visionOne runtimeSecurity: enabled: true customRules: configmap: name: custom-rules-config -
ポリシーをコードとして使用してポリシーの設定を完了します。カスタムルールセットはポリシーの一部です。共有ポリシーを使用する際に逸脱がないようにするために、カスタムルール機能では、ユーザがクラスター管理ポリシーを使用してポリシーをコードとして使用する必要があります。クラスター管理ポリシーについて詳しく学ぶ。
OCIレジストリを使用してインポート
-
カスタムルールがOCIリポジトリを使用して構成されている場合、OCIリポジトリの基本認証パラメータを含むKubernetesシークレットを作成してください。シークレット値の形式は
FALCOCTL_REGISTRY_AUTH_BASICfalcoctl環境変数と同じです。 -
次のような秘密の値を使用して、複数のOCIリポジトリの認証情報を設定します。
OCI registry,basic auth username,basic auth password;OCI registry1, basic auth username1, basic auth password
-
次のコマンドを使用して、OCIリポジトリの認証パラメータを保存するためのKubernetesシークレットを作成します。
kubectl create secret generic <oci-basic-auth-secret-name> --from-literal=falcoctl=<OCI registry,basic auth username,basic auth password;OCI registry1, basic auth username1, basic auth password1> --namespace trendmicro-system -
overrides.yamlファイルを設定し、ローカル構成またはOCIレジストリを通じてカスタムルールをインポートします。-
ルールファイルをOCIレジストリにアップロードします。通常、次のようなコマンドを使用します。
sudo falcoctl registry push <OCI-repository>:<tag> <rulesFilePath> --type rulesfile --version "<version>" -
visionOne.customRules.enabled=true、visionOne.customRules.output.visionOne.enabled=true、visionOne.ociRepository.enabled=trueを設定し、artifactUrls、rulesFile(s)、basicAuthTokenSecretNameを指定してカスタムルール機能を有効にします。visionOne: runtimeSecurity: enabled: true customRules: ociRepository: enabled: true artifactUrls: - docker.io/sampleRules:latest rulesFiles: - customRulesFile.yaml basicAuthTokenSecretName: <oci-basic-auth-secret-name>
-
-
ポリシーをコードとして使用してポリシーの設定を完了します。カスタムルールセットはポリシーの一部です。共有ポリシーを使用する際に逸脱がないようにするために、カスタムルール機能では、ユーザがクラスター管理ポリシーを使用してポリシーをコードとして使用する必要があります。クラスター管理ポリシーについて詳しく学ぶ。