今回のリリースついに、アクティビティに対して検知を行うポリシー機能が使えるようになりました!🎉ポリシーとは?「ポリシー(Policy)」とは、Cygieneが取り込んだデータに対して、何を検知するかを設定する機能です。今回のリリースでは、条件に基づくログの検知が可能になります。まだ真っさらな状態のCygieneは、このポリシーを元に、最初は少しずつ学習していきます。(ふるまい検知、統計検知は2022冬以降にリリース予定です。また、2023年以降、機械学習検知が利用可能となるので、乞うご期待ください!)どんな条件が設定可能?次の7つに対して条件を設定することができます。誰 ・Cygieneに登録されているIdentityベースで指定することができます。どのアカウント ・元々のアカウントのIDを指定することもできます。イベントの種類 ・Cygieneがログから自動パースしたイベント名です。発生した場所 ・IPアドレスやデバイス名など。ログから自動的に推測されます。アクセス先 ・こちらもIPアドレスやサービス名などがログから自動的に推測されますリソース ・アクセスのあったファイルや権限などのIDを指定することができます。フォーマットタイプ ・複数のログフォーマットが出力されるデータソースの場合に指定します。 デフォルトでは default が割り当てられており、指定は不要です。これらを、And/orなどの条件、 == < などの演算子を利用して細かく条件を設定できるほか、”含む”( contains )といった複雑な条件も設定することができます。条件は複数設定でき、グループ化することもできます。どんなことができる?例えば、Google Driveのファイル共有状態が大きく変更されたものを検出してみましょう。Google Driveのログは、法人であれば、Google WorkspaceのAudit Logから出力されてきますから、Google Workspaceのデータソースを選択して、 change_document_visibility_hierarchy_reconciled を含むイベントを検出するように設定しましょう。Google WorkspaceのAudit Logは、複数のイベントが単一のログにまとまって出力されているのですが、Cygieneは内部のイベントを自動的に分解し、それぞれのイベントをチェックしてくれます。この change_document_visibility_hierarchy_reconciled は、親フォルダの権限変更で子ファイルのリンク共有状態が大きく変更されたときに発火するイベントですので、あんまり望ましくないものですよね。Cygieneで検知してみると良いと思います。今後について現在、ポリシー機能は、弊社でのDog foodingをはじめ、先行アクセスに参加いただいているお客様のテナントでテストしています。精度向上のため、まだ現在はベータ的な扱いで、随時テナントに展開されていきます。今後、次のような機能強化が予定されています。プリセットの追加かねてよりお伝えしてきました通り、連携したSaaS/クラウドサービスに特化したプリセットを提供する予定です。それぞれのログは、それぞれのサービス毎にイベント定義を持っていますから、一つ一つ調べて定義するのは大変です。Cygieneはとにかくログを吸い込むため、そのログから自動的にサービスを学習した結果にもとづき、リスクの高そうなオペレーションなどを簡単に指定できるプリセットを提供する予定です。より幅広いログへの対応Google WorkspaceGitHubSlackこの3つが先行的に対応します。syslogも準備中です!通知機能の提供画面上では選択できない「通知」についても9月より随時提供予定です。精度向上より正確にログを取り出す仕組みを開発中です!