ビュー:
ファイル変更監視は、コンテナの重要な領域におけるファイルの変更を、事前に設定されたベースラインと比較することで検出します。予期しない変更がないかファイルをスキャンし、逸脱が見つかった場合にはイベントを記録し、潜在的なセキュリティ脅威への可視性を提供します。
ファイル整合性モニタルールは、検索エンジンがどのフォルダをモニタし、どのファイル名を除外するかを決定するのに役立ちます。事前定義されたTrend管理ルールを使用するか、独自のカスタムルールを作成して環境により適合させることができます。

ファイル変更監視を有効にする

  • Amazon ECS: ファイル変更監視ルールを含むECSポリシーを作成し、保護したいクラスターに適用します。
    注意
    注意
    ファイル変更監視はランタイム機能です。ファイル変更監視を有効にする前に、クラスター レベルでランタイムセキュリティのトグルが有効になっていることを確認してください。
  • Kubernetes: Container Securityで新しいクラスターを追加する際にファイル変更監視を有効にすることができます。また、既存のクラスターに対しては、Helmチャートをアップグレードし、次の内容をoverrides.yamlファイルに追加することで有効にできます。 
        fileIntegrityMonitoring:
        enabled: true
ファイル変更監視が有効になり、ポリシーにルールが追加されると、ファイルの変更が発生した際に[Cloud Security][Container Security][ログ][ファイル変更監視]でイベントを表示できます。

カスタムのユーザ管理ルールを作成する

  1. [Cloud Security][Container Security][設定]に移動します。
  2. [オブジェクト管理]をクリックして、ファイル変更監視ルールのページに移動します。
  3. [+Add]をクリックします。
  4. ルール名と説明を入力します。
  5. ファイルの範囲を定義するには、コンテナファイルシステムを検索するか、ホストファイルシステムを検索するかを選択してください。
    注意
    注意
    AWS Fargate環境はホストファイルシステムにアクセスできません。「ホスト」を選択すると、このルールはAWS Fargate環境に適用されなくなります。
    ルールスコープは監視されるファイルを決定します。
    • Base directory(ies): モニタするディレクトリを入力してください。ルール内で複数のディレクトリを指定できます。
    • Filenames to include: 検索に含めるファイル名パターンを指定します。
    • Filenames to exclude ― 検索から除外するファイル名パターンを指定します。
注意
注意
Trend管理ルールは変更または削除できませんが、複製して新しいカスタムルールを作成し、その後編集することができます。
カスタムルールを作成した後、ファイル変更監視ルールページからこれらのルールを管理できます。

ポリシーのファイル変更監視ルールを定義する

新規または既存のポリシーにファイル変更監視ルールを追加して、ポリシーの対象範囲を定義します。Container Securityポリシーの詳細を学ぶ
  1. [Cloud Security][Container Security][設定]に移動します。
  2. ポリシーページで、既存のポリシーを選択するか、[+Add] をクリックします。
  3. [ファイル変更監視]を実行時に選択します。
  4. [+Add Rule]をクリックして、ポリシーにファイル変更監視ルールを追加します。
  5. ターゲット範囲を定義して、[送信] をクリックします。
    • Kubernetesの場合: 名前空間パターン、コンテナ名パターン、ポッドラベルが含まれます。
    • Amazon ECSの場合: コンテナ名パターンとタスク定義パターンが含まれます。
  6. 要件に応じて検索スケジュールを設定してください。