ビュー:

Runtime Securityスキャン中にコンテナを保護するためのContainer Security管理ルールセットを定義します。

ランタイムセキュリティは、カスタマイズ可能な一連のルールに違反するコンテナアクティビティを可視化します。現在、ランタイムセキュリティには、コンテナに対するMITRE ATT&CKフレームワークの戦術を可視化する事前定義ルールのセットと、コンテナのドリフト検出が含まれています。 Container Securityは、ランタイムセキュリティ機能によって検出された問題を自動的に軽減できます。 Podが実行時にいずれかのルールに違反した場合は、Container Securityポリシーに割り当てられたルールセットに基づいてPodを終了または隔離することで問題を軽減します。
重要
重要
ルールセットはKubernetesおよびAmazon ECSと互換性があり、Amazon EKS、Microsoft Azure AKS、Google GKE、OpenShiftで実行されるサポートされているLinuxカーネルをサポートします。

手順

  1. [Cloud Security][Container Security][設定][Object Management]に移動します。
  2. [ランタイムセキュリティルールセット][管理されたルールセット]タブをクリックします。
  3. ルールセットを作成するには、[+Add] をクリックします。
  4. 一意のルールセット名を指定します。
    注意
    注意
    • ルールセット名にスペースを含めることはできません。使用できるのは、英数字、アンダースコア (_)、およびピリオド (.) のみです。
    • ルールセットの作成後にルールセット名を変更することはできません。
  5. ルールセットの目的の詳細を指定する場合は、 [Description] フィールドを使用します。
    説明は、ルールセットリストのルールセット名の下に表示されます。
  6. Kubernetesクラスタにラベルを適用済みで、対応するラベルを持つクラスタにのみルールセットを適用する場合は、 [Add Label]をクリックします。
    1. ラベルごとに [Key][Value] を指定します。
    2. ルールセットを適用するラベルが複数ある場合は、 [Add Label] を再度クリックします。
    重要
    重要
    ラベルはKubernetesクラスタでのみサポートされ、Amazon ECSクラスタには影響しません。
  7. 各ルールの横にある[有効]を選択してことでルールセットにルールを適用します。
    ヒント
    ヒント
    ルールで防止するように設計された攻撃手法の詳細を表示するには、MITRE ID (例: T1021.004 ) MITREサイト
  8. In the Action column, select what action you want Container Security to perform when the rule is violated.
    • [Log]: イベントをログに記録しますが、コンテナの実行は継続します
    • 隔離: ポッドをすべてのネットワークトラフィックから隔離する(Kubernetesのみ)
    • 終了: ポッドを終了します(KubernetesおよびCAMバージョンv2.2.3以上のECS)
    重要
    重要
    ECS保護v2.2.3のCAMから、ラインタイムセキュリティ中に[終了]がサポートされます。[隔離]はデフォルトでログモードになります。
    Amazon ECSの保護バージョンがv2.2.3より前のCAMでは、Amazon ECSクラスターは[ログ]アクションのみをサポートします。[隔離]または[終了]を選択してAmazon ECSクラスターにルールセットを適用すると、Container Securityは[ログ]アクションのみをデフォルトとします。
  9. [ルールセットを作成]をクリックしてください。
関連情報