本文の内容は、docs.sysdig.com上のManaged Policies, Managed Rulesets, and Custom を元に日本語に翻訳・再構成した内容となっております。(2022年7月28日現在)
2022年7月現在、脅威検知ポリシーには3つのフレーバーがあります。
デフォルト/マネージドポリシー
Sysdigが提供・管理するデフォルトのポリシーです。Sysdig脅威リサーチチームはいつでもこれらを更新することができます。- デフォルトのポリシーは、すべてのアカウントに存在し、名前を変更したり、削除したりすることはできません。
- これらのポリシーは、最も一般的な使用方法に基づいて、あらかじめ有効/無効の状態が設定されていますが、任意で有効/無効にすることができます。
- 編集できるのは、スコープとアクション(通知チャネルなど)のみです。
- 注:Sysdig Secureの以前のバージョンでは、Sysdigが管理しない「デフォルト」ポリシーがあり、異なる命名規則が使用されていました。その移行については、リリースノートを参照してください。
Duplicate します:マネージドルールセット・ポリシー:
Name、Description、 Severityも編集可能
- デフォルトのマネージドポリシーと同様に、マネージドルールセットポリシーはSysdig 脅威リサーチチームによって更新されることがあります。
- ユースケース例: マネージドポリシー内の同じルールセットに対して、異なるスコープやアクション(通知チャネルなど)が必要な場合。
ポリシー内のルールを変更したい場合:
カスタムポリシー
これらは3つの方法で作成することができます。- デフォルトポリシーをカスタムに変換する
- マネージドルールセットポリシーをカスタムに変換する
- ゼロからポリシーを作成する
- (2022年7月以前のポリシーは、カスタムポリシーに自動変換され、以前と同様に機能します)。