ポスチャー・コントロール

IBM Cloud® Security and Compliance Center Workload Protection Posture コントロール・ライブラリーを使用して、コンプライアンス結果の判別に使用されるロジックを確認できます。

IBM Cloud Security and Compliance Center Workload Protection のインスタンスを Security and Compliance Center と統合して、コンプライアンスのレベルを検証するスキャンを実行する方法について詳しくは、ワークロード保護の接続を参照してください。

コントロールは、例えば /etc/docker/certs.d/*/* owned by root:root、ルールを評価するために実行されるコード、および検出される可能性がある違反を修正するための修復プレイブックを記述します。

ビジネス要件、セキュリティー要件、コンプライアンス要件、および運用要件に対応するためのさまざまなタイプの制御があります。

ポスチャー・コントロールにより、以下を実現

コンプライアンス分析が組織のニーズに合っていることを確認します。
何が評価されるかを把握します。
特定のコントロールと、それらのコントロールと修復のロジックを確認します。

コンプライアンスについて詳しくは、 Compliance のビューおよび機能の資料を参照してください。

コントロールは、 Rego ポリシー言語を使用する Open Policy Agent(OPA)エンジン上に構築されています。

ポスチャー・コントロール・ライブラリーには、コントロールの作成に使用されるコードと、コントロールが評価する入力が表示されます。このコードは JSON ファイルとしてダウンロードできます。

ポスチャー・コントロールへのアクセス

「ポスチャー・コントロール」 にアクセスするには、以下の手順を実行します。

Workload Protection UI を開きます。
「ポリシー」 アイコンの上にカーソルを移動し、 「コントロール」 をクリックします。コントロールが表示されます。

以下の基準でリストをフィルターに掛けることができます。

重大度

コントロールに割り当てられている重大度: 高 (H)、中 (M)、または低 (L)。

タイプ

インフラストラクチャー・タイプ。例えば、クラスター、ホスト、ID、リソースなどです。

ターゲット

コントロールがリソースを評価する対象となる特定のプラットフォームまたはディストリビューション。

コントロール名の中の任意の単語または単語の一部を検索することもできます。

複数のフィルターを指定して、より具体的なフィルター式を作成できます。
操作するコントロールをクリックします。コントロールの詳細が表示されます。

以下の詳細が表示されます。
- コントロールのタイトル。
- 制御の重大度。
- コントロール・タイプ。例えば、Host です。
- コントロール作成者。作成者は Sysdig for IBM Cloud Security and Compliance Center Workload Protection 提供のコントロールです。
- コントロールの説明です。
- コントロールにリンクされているポリシー。
  
  ポリシーの上にカーソルを移動すると、ポリシーの詳細が表示されます。例えば、コンプライアンス標準の要件番号などです。
「コード」 タブをクリックします。

オブジェクトの評価に使用されるコード、および評価ルールの構造化方法が表示されます。コードは Rego フォーマットに示されています。必要に応じて、必要な入力が含まれます。

このコードをコピーまたはダウンロードして、他のポリシーのテンプレートとして使用できます。
「修復プレイブック」 タブをクリックします。

失敗した制御を解決するためのステップが表示されます。