コンフィグレーション cloud-connector.yaml

rules:
  - secure:
      url: https://secure.sysdig.com
  - git:
      url: https://github.com/sysdiglabs/cloudtrail-rules
  - s3:
      bucket: bucket-name
  - gcs:
      bucket: bucket-name
  - directory:
      path: ./rules
ingestors:
  - cloudtrail-sns-sqs:
      queueURL: https://sqs.REGION.amazonaws.com/XXXXX/cloud-connector-demo
      interval: 1m
  - cloudtrail-sns-http:
      url: /cloudtrail
  - cloudtrail-http:
      url: /cloudtrail-debug
  - auditlog:
      project: XXXX
      interval: 5m
  - auditlog-http:
      url: /auditlog-debug
notifiers:
  - console: {}
  - metrics: {}
  - cloudwatch:
      logGroup: cloud-connector-test
      logStream: test
#   - securityhub:
#       productArn: arn:aws:securityhub:eu-west-1:485156241564:product/485156241564/default
  - secure:
      url: https://app.sysdigcloud.com

ルールプロバイダー

同時に複数のルールプロバイダーを設定することができます。ルールは順番にロードされます。この例では、ルールはsecureからロードされてマージされ、次にgit、s3バケット、最後にローカルディレクトリにロードされます。

リストとマクロは、append機能を使って、前に読み込まれたルールの動作を拡張することができます。

secure

HTTP APIを使用して、Sysdig Secureのバックエンドからルールを読み込みます。

パラメーター:

環境変数SECURE_API_TOKENには、有効なAPIトークンを設定する必要があります。

git

Gitリポジトリからルールを読み込む

プライベートリポジトリをクローンする必要がある場合は、ここで認証情報を渡すことができます。 https://help.github.com/articles/creating-a-personal-access-token-for-the-command-line/.

パラメーター:

s3

S3バケットからルールを読み込みます。プロバイダは、.yamlと.ymlで終わるすべてのファイルを再帰的に取得します。 他のファイルと衝突しないように、ファイルのパスを指定する必要があるかもしれません。

例えば、”cloud-connector-rules/rules.yaml”にファイルが保存されている場合、パスは “cloud-conector-rules”となります。

パラメーター:

gcs

Google Cloud Storage のバケットからルールを読み込みます。プロバイダは、.yaml および .yml で終わるすべてのファイルを再帰的に取得します。 他のファイルと競合しないように、ファイルのパスを指定する必要がある場合があります。

たとえば、ファイルが “cloud-connector-rules/rules.yaml”に保存されている場合、パスは “cloud-conector-rules”にする必要があります。

パラメーター:

ディレクトリー

pathパラメータで指定したディレクトリからルールのセットを読み込みます。

インジェスター

cloudtrail-sns-sqs

AWS SNSの通知をSQS経由で、パラメータqueueURLで指定したキューに取り込みます。Cloud Connectorは、指定された間隔でSQSから直接イベントを取り込みます。

パラメーター:

cloudtrail-sns-http

AWS SNSの通知を、パラメータurlで指定したパスでHTTP経由で取り込みます。Cloud Connectorは、ポート5000でHTTPリクエストをリッスンします。

SNS通知は、S3バケットからイベントを取得するトリガーとなります。

cloudtrail-http

パラメータ url で指定された URL で、raw JSON イベントを受信します。Cloud Connectorは、ポート5000でHTTPリクエストをリッスンします。

このインジェスターは、デバッグ目的でのみ使用されます。

監査ログ

Google Cloud Platform Audit Log イベントを取得します。Cloud Connectorは、指定した間隔でGCP Loggingから直接イベントを取得します。

パラメーター:

auditlog-http

パラメータ url で指定された URL で、raw JSON イベントを受信します。Cloud Connectorは、ポート5000でHTTPリクエストをリッスンします。

このインジェスターは、デバッグ目的でのみ使用されます。

通知

コンソール

アラートをコンソールに書き込むシンプルな通知です。

メトリクス

この通知は、アラートごとにカウンタを更新し、これらのカウンタをPrometheusメトリクスとしてサーバーに送信します。

cloudwatch

AWS CloudWatchにアラートを送信します。

環境変数AWS_REGIONの設定と、AWSの認証情報が事前に設定されている必要があります。

パラメーター:

securityhub

AWS SecurityHubにアラートを送信します。

環境変数AWS_REGIONの設定と、AWSの認証情報が事前に設定されている必要があります。

パラメーター:

secure

Sysdig Secureのイベントフィードにアラートを送信します。

環境変数 AGENT_KEY の設定が必要です。

パラメーター:


詳細については、以下のいずれかのセクションをご覧ください。