檢視次數:

此工作流程將引導您完成首次創建、執行、更新和刪除自訂規則的情境。

工作流程 1:建立、執行、更新和刪除自訂規則

在建立您自己的自訂規則之前,建議您使用我們的其中一個範本來展示主要功能。
  1. 複製您成功的取得公司自訂規則請求。更改為POST請求類型,重新命名為建立自訂規則,然後點擊儲存。這將是對端點 https://api.xdr.trendmicro.com/beta/cloudPosture/customRules 的 POST 命令
  2. 在 Postman 的 Body 標頭下,選擇 Raw,確保選擇 JSON 格式 > 貼上以下自訂規則範本 > 點擊儲存。Postman 也允許您美化請求主體。此規則是一個基本的示範規則,用於檢查 S3 儲存桶的加密。 
    {
    "name": "S3 bucket has any Encryption",
    "description": "We want to demonstrate Custom Rules V1",
    "categories": [
        "security"
    ],
    "riskLevel": "MEDIUM",
    "provider": "aws",
    "enabled": true,
    "service": "S3",
    "resourceType": "s3-bucket",
    "remediationNote": "To remediate, follow these steps:\n1. Step one \n2. Step two\n",
    "attributes": [
        {
            "name": "bucketEncryption",
            "path": "data.Encryption",
            "required": true
        }
    ],
    "eventRules": [
        {
            "conditions": {
                "all": [
                    {
                        "fact": "bucketEncryption",
                        "operator": "notEqual",
                        "value": null
                    }
                ]
            },
            "description": "Bucket has encryption enabled"
        }
    ]
}
  3. 點擊儲存並發送。如果成功,回應將返回201 HTTP回應。您現在已將自訂規則儲存到您的組織中。該規則現在將作為定期Cloud Risk Management掃瞄過程的一部分,自動對您每個相關雲端帳戶(在此情況下為AWS)的資源資料進行運行。
  4. 要驗證,請返回先前的獲取公司自訂規則查詢並再次執行該請求。您現在應該會看到回應中返回的資料,詳細說明已儲存的規則。
  5. 可選(取決於環境和時間 - 否則跳到下一部分):您可以讓 Cloud Risk Management 掃瞄您的其中一個雲端帳戶。保存的自訂規則將在下一次掃瞄中自動被採用,並以與其他規則相同的格式產生檢查。
  6. 建議(疑難排解說明):如果您想在 Conformity 控制台中查看檢查項,請在創建自訂規則後刷新瀏覽器窗口,以確保 Conformity 網頁應用程式載入必要的資料以正確顯示檢查項。若不進行此刷新,Conformity 應用程式可能無法載入所有必要的資料以正確顯示檢查項。
  7. 在刷新瀏覽器後,點擊雲端風險管理 > Misconfiguration and Compliance 頁面中的雲端帳戶,然後點擊瀏覽所有檢查。使用自訂規則 ID 進行篩選,以查看您第一個自訂規則在您的帳戶中即時啟用。

更新、測試、關閉及刪除現有的自訂規則

您可以更新、關閉和永久刪除已儲存的自訂規則。您可以更新現有的自訂規則以進行基本配置更改(例如,風險等級或類別),或進行更重大更改,包括規則邏輯。更新的規則將保留檢查,直到執行最新的邏輯。
注意:刪除規則不會立即更改任何相關資料,例如,刪除/移除相關檢查。我們建議您先關閉該規則,即已啟動:否,並允許 Cloud Risk Management 掃瞄一個週期後再刪除。這將允許掃瞄移除相關檢查並完成任何相關任務,例如,更新統計資料、關閉已建立的 JIRA/ServiceNow 工單等。
  1. 複製名為建立自訂規則的 POST 查詢,將其更改為 PATCH 請求並重新命名為更新自訂規則。
  2. 在 URL 後附加 /<custom-rule-id>,例如 https://api.xdr.trendmicro.com/beta/cloudPosture/customRules/CUSTOM-QqVHDF6JVdUE
  3. 修改規則範本的主體,變更:a. 名稱的值(可隨意命名規則)和風險等級(例如,改為低)。b. 在規則 → 條件 → 全部 → 運算子下,將 notEqual 改為 equal(這將反轉規則邏輯)。
  4. 點擊儲存並發送。現有的規則將會更新,並顯示在回應中。您可以透過重新執行取得公司自訂規則來確認。
  5. 透過執行測試自訂規則配置來測試新更新的規則 - 您應該會注意到成功檢查取代了先前的失敗檢查。如果您讓規則與 Cloud Risk Management 掃瞄一起運行,您將看到檢查的資料防護已更新。
  6. 作為最後的清理步驟,我們將準備關閉並刪除已儲存的規則。我們將首先關閉已儲存的規則,這將允許 Cloud Risk Management 掃瞄處理與移除檢查相關的任務,例如刪除相關檢查、更新統計資料、關閉已建立的 JIRA/ServiceNow 工單等。如果沒有為自訂規則建立檢查,則進行到步驟 8 以永久刪除自訂規則。修改 PATCH 請求更新自訂規則的主體,並將 enabled 屬性更改為 false。
  7. 點擊發送。現有規則將會更新,如回應中所示。您可以透過重新執行獲取公司自訂規則來確認
  8. 允許 Cloud Risk Management 掃瞄在與您自訂規則相關的帳戶中執行完整週期。
  9. 將 PATCH 請求複製以更新已儲存的規則,將其更改為 DELETE 請求,並將新請求重新命名為刪除自訂規則。
  10. 您可以清除正文(可選),確保 URL 包含您要從公司刪除的自訂規則 ID,點擊保存並發送。您可以通過重新運行獲取公司自訂規則查詢來重新檢查,查看自訂規則的陣列是否為空。