ポリシーの使用とイベントのトリガー

Cloudformationテンプレートを初めてインストールすると、Sysdigアカウントに”Sysdig AWS Best Practices”というクラウド脅威検知用の無効に設定されているRuntime Policyが新たに表示されます。

アクティブなランタイム・ポリシーの一部であるルールのみが、監査イベントによってトリガーされます。このポリシーを有効にするには、Sysdig Secureダッシュボードの”Policies”、”Runtime Policies”セクションにアクセスし、名前の左にあるスイッチをクリックしてください。

Setting encryption

このポリシーには、注意すべき重大なセキュリティ上の問題となるイベントをトリガーするいくつかのルールが含まれています:

自由に使えるすべてのルールについては、バンドルルールセクションRuntime Policies Sysdig documentationを参照してください。

ポリシーをテストするためのイベントをトリガーする

ポリシーが機能し、イベントがトリガーされることをテストする最も簡単な方法は、暗号化されたS3バケットを作成し、それを削除することです(そもそも暗号化されていないバケットが作成された場合、ポリシーはトリガーされません)。

Setting encryption

そのためには、AWSコンソールサイトにアクセスし、Amazon S3セクションに移動して、サーバーサイド暗号化、暗号化キータイプ “Amazon S3キー(SSE-S3) “でバケットを作成します。

Disabling encryption

次に、バケットが作成されたら、そのプロパティをクリックし、デフォルトの暗号化セクションで”編集”ボタンをクリックし、暗号化を無効にして変更を保存します。

その後、AWSがCloudTrailイベントを発するまで待つことで検知できるようになります。CloudTrailの公式ドキュメントには、「CloudTrailは通常、APIコールから平均約15分以内にログを配信します。この時間は保証されていません」とあります。

十分な時間が経過した後、Sysdig Secureにアクセスし、”Events”をクリックすると、”Delete Bucket Encryption”のセキュリティイベントを確認することができるはずです。

Delete bucket encryption event

次のセクションへ進む

バンドルされているCloudTrail Falcoルールの全リストを確認しますか?

バンドルルールのセクションを見る.

AWS Security Hubとの連携を設定したいですか?

AWS Security Hub統合セクションを見る

すべてのセキュリティ機能について詳しく知りたい方は、こちらをご覧ください

CloudTrailを用いた脅威検知のセクションを見る.
クラウドセキュリティポスチャーマネジメントとコンプライアンスのセクションを見る.
ECRイメージレジストリースキャンのセクションを見る.
Fargateイメージスキャンのセクションを見る.


詳細については、以下のいずれかのセクションをご覧ください: