Runtime Securityスキャン中にコンテナを保護するためのContainer Security管理ルールセットを定義します。
手順
- に移動します。
- に移動します。
- [Managed rulesets] タブをクリックします。
- [設定]タブをクリックし、[オブジェクト管理]ボタンをクリックします。
- ルールセットを作成、複製、または変更します。
-
新しいルールセットを作成するには、[新規][+Add]をクリックします。
-
既存のルールセットを複製するには
-
クリックして、ポリシーリストから基本ルールセットを選択します。
-
[複製] をクリックします。リストの末尾にある重複アイコンをクリックしてください。Container Protectionは既存のルールセットのコピーを作成し、ルールセット名に"Copy""_CLONE"を追加します。
-
-
既存のルールセットを変更するには、ルールセットリストでルールセット名をクリックしてください。
-
- 新規ルールセットおよび複製ルールセットには、一意のルールセット名を指定します。
注意
-
ルールセット名にスペースを含めることはできません。使用できるのは、英数字、アンダースコア (_)、およびピリオド (.) のみです。
-
ルールセットの作成後にルールセット名を変更することはできません。
-
- ルールセットの目的の詳細を指定する場合は、 [Description] フィールドを使用します。説明は、ルールセットリストのルールセット名の下に表示されます。
- Kubernetesクラスタにラベルを適用済みで、対応するラベルを持つクラスタにのみルールセットを適用する場合は、 [Add Label]をクリックします。
- ラベルごとに [Key] と [Value] を指定します。
- ラベルに一致するポッドを含めるか除外するかを選択してください。
注意
ルールセットはラベルのリストを除外するか含めるかのいずれかであり、含まれるラベルと除外されるラベルを混在させることはできません。 - ルールセットを適用するラベルが複数ある場合は、 [Add Label] を再度クリックします。
重要
ラベルはKubernetesクラスタでのみサポートされ、Amazon ECSクラスタには影響しません。 - [ルールを追加]をクリックし、トグルを有効にしてルールセットにルールを適用します。
- ルールセットに適用する使用可能なルールの横にあるチェックボックスをオンにします。
- [送信] をクリックします。
ヒント
ルールで防止するように設計された攻撃手法の詳細を表示するには、MITRE ID (例:T1021.004) MITREサイト。 - [軽減][処理]列で、ルールが違反された場合にContainer Securityに実行させたいアクションを選択してください。
-
[Log]: イベントをログに記録しますが、コンテナの実行は継続します
-
隔離: ポッドをすべてのネットワークトラフィックから隔離する(Kubernetesのみ)
-
終了: Podを終了します(Kubernetesのみ)
重要
Amazon ECSクラスタは、 [Log] アクションのみをサポートします。 [Isolate] または [Terminate] を選択し、ルールセットをAmazon ECSクラスタに適用した場合、 Container Securityは初期設定で [Log] アクションのみに設定されます。 -
- [作成] をクリックします。