ディスカバリー・ルールエンジン

概要

ディスカバリールールエンジンでは、検出権限を持つユーザーが、ゲートウェイ上の特定のPAM構成に対して順序付きのルールセットを作成および管理できます。これにより、検出ジョブがリソースをどのように識別するか、また検出結果をどのように処理・保存するかを制御できます。

この仕組みにより、大規模環境での自動バッチ処理が可能になります。数百から数千に及ぶ検出リソースを手動で確認・処理する代わりに、定義した条件に基づいて、自動的に追加、無視、または確認を促す処理を実行できます。

ルールは上から順に評価され、検出されたリソースに最初に一致したルールが、その後の処理を決定します (最初に一致したルールが適用されます)。

動作の仕組み

検出ジョブが実行されると、検出された各アイテムは、定義したルールに従って上から順に評価されます。

• 最初に一致したルールが適用されます。

• そのGatewayに対するルール評価はそこで終了します

• 選択されたアクション (追加、無視、確認) が実行されます

ルールのアクション

各ルールでは、次のいずれかのアクションを指定できます。

• 追加 指定したリソースに対してルールのロジックを自動適用し、ボルトに追加します。

• 無視 一致したリソースを除外し、不要な検出結果や誤検知を減らします。

• 確認 追加情報が必要な場合に、ユーザーによる確認対象としてフラグを付けます。

ルールの管理

ルールは、ボルトの検出セクション内のルールタブから管理します。ここでは次の操作を行えます。

• 指定したPAM構成に対して新しいルールを作成

• 既存のPAM構成のルールセットを編集

• ルールの実行順序を管理

• ルールの有効化または無効化

• ルールの削除

実行順序と優先度

ルールは定義された順序で実行されます。

• 既定では、ルールは作成順に実行されます。

• ルールの順序は手動で並び替えできます。

• 最初に一致したルールのみが適用されます (1回の検出ジョブにつき適用されるルールは1つのみ)。

検出ジョブ作成時のルールセットの割り当て

1. [検出ジョブを作成] をクリックし、ゲートウェイを選択します。

2. そのゲートウェイに複数のPAM構成が関連付けられている場合は、使用するPAM構成を選択します。

3. 選択したゲートウェイでジョブが実行される際には、そのPAM構成に関連付けられているルールが適用されます。

4. 選択したPAM構成にルールが設定されていない場合は、セットアップ中に新規作成できます。