今回は、Prisma CloudのInvestigate機能を利用して、特定の条件に一致するリソースを検索する方法を解説していきます。
Prisma Cloud の Investigate(調査)機能
Prisma CloudのInvestigate(調査)機能を使用すると、シンプルで直感的なインターフェースでクエリを発行することができ、要件にあわせた検索をすることが可能です。Prisma Cloudで発行されるクエリはRQLと呼ばれ、Prisma Cloud独自のものとなっています。
検索方法は、大きく分けると以下の3つがあります。
① 探したい条件を入力すると表示されるAI支援の提案からクエリを選択して検索する
② クエリの条件をコンソール画面に表示されるフィルター機能で指定して検索する
③ 検索欄にRQL文を直接入力して検索する
今回は上記3つの方法をそれぞれ説明していきます。
検索してみる
今回は分かりやすい例として、「パブリックIPを持っているEC2」をそれぞれの方法で検索してみたいと思います。
AI支援を利用した検索
Prisma Cloudコンソールの調査タブを表示すると、右側に「AI支援が有効」と表示されている検索欄(以下画像参照)が出てきます。
ここに「パブリックIPを持っているEC2」と入力してみます。
すると以下のように、AIによって入力内容に当てはまりそうなクエリが選択肢として表示されてきます。
「AWS EC2 instance is assigned with public IP_RL」という名前のクエリが今回検索したい内容に一致しそうなのでクリックすると、自動でRQL文が入力され、接続しているクラウドアカウント上に存在するパブリックIPを持ったEC2の一覧が表示されます。
フィルタ機能を利用した検索
Prisma Cloudコンソールの調査タブを表示すると、「+クエリの種類を選択してください」というフィルターが表示されます。クエリには以下のような種類があり、その中から要件に当てはまるものを選択します。
| クエリタイプ | 概要 | RQL文の形式 | サポートしているモード |
| アセット | 包括的なセキュリティコンテキストを含むすべてのクラウドアセットを表示 | ー | シンプル |
| 設定 | クラウド API と JSON ルールに基づいて構成ファイルを検索 | “config from cloud.resource where”から始まる | シンプル・上級 |
| 脆弱性 | お使いの環境内で発見された主な脆弱性を調査 | ー | シンプル |
| ネットワーク設定 | ネットワークパスを探索し、インターネットに公開されているアセットを特定 | config from network where”から始まる | 上級 |
| ネットワークフローログ | ネットワークフローログを調査して、インシデントや脅威の検出と調査を行う | network from vpc.flow_record where”から始まる | 上級 |
| 監査イベント | 調査とフォレンジックのために監査ログを探索 | event from cloud.audit_logs where”から始まる | 上級 |
| アプリケーションアセット | ソフトウェアデリバリーチェーンとエンジニアリングのアタックサーフェスを調査 | ー | シンプル |
| 許可(IAM) | 取り込まれた IAM ポリシーに基づいてネット リソースのアクセス許可を表示 | “config from iam where”から始まる | 上級 |
今回は「パブリックIPを持っている」という”設定”に当てはまるEC2を検索したいので、「設定」を選択します。
検索対象とする期間を選びます。「+追加」をクリックするとフィルタ条件を追加できます。
今回はEC2の設定情報(パブリックIPを持っているかどうか)を条件にしたいので、EC2インスタンスの情報を参照するAPIを指定します。
条件とする詳細な設定値は「JSONルール」フィルターを利用して指定していきます。
JSONルールを選択すると以下のように実際のJSON形式で設定項目が表示されるので、条件にしたい設定項目をクリックします。今回はパブリックIPの値が入る項目をクリックしました。
指定した項目がどのようになっていたら検知するかを指定します。
今回は「publicIP」の項目が存在する=パブリックIPを持っている※ということを検知の条件にしたいので、「exists」を選択しました。
その他の選択肢については、Prisma Cloudの公式ドキュメント(RQL演算子)を参照ください。
※パブリックIPがないEC2のJSONにはそもそも「publicIP」の項目がありません
条件を指定できたら「検索」をクリックします。パブリックIPを持ったEC2の一覧が表示されます。
RQL文を直接編集して検索
フィルタ機能を利用した検索の説明で紹介したクエリタイプで、サポートされているモードに「上級」が含まれているクエリタイプの場合は、検索欄にRQL文を直接入力して検索することができます。
「設定」クエリタイプは「上級」モードをサポートしているので実際に試してみます。
PrismaCloudコンソールの「調査」タブを表示し、「+クエリの種類を選択してください」をクリックして「設定」を選択します。
すると、右側に「シンプル」と「上級」を選択できる箇所が出てくるので、「上級」を選択します。
「config from~」から始まるRQL文を入力できる欄が出てきたので、以降のRQL文を入力していきます。
直接テキストを入力していくことも可能ですし、入力しようとすると選択肢が表示されるのでそこから選択してRQLを作成することも可能です。
RQL文が文法的に問題なく検索できる状態まで入力すると、RQLの左横にあるアイコンが緑色に変わります。
緑色になっていることを確認して「検索」をクリックします。
パブリックIPを持ったEC2の一覧が表示されます。
まとめ
Prisma CloudのInvestigate(調査)機能を利用して検索をかける方法を3つご紹介しました。調査機能を利用することで、特定の条件に一致するリソースの一覧を簡単に作成できます。また、Prisma Cloudのポリシーはクエリ(RQL)を利用しているため、個々の環境の要件に合わせたカスタムポリシー作成する際にも参考になるかと思います。調査機能を有効活用して、セキュリティとコンプライアンスの強化に役立てましょう。
今後も、Prisma Cloud の活用方法について実用的な情報をお届けできればと思います。
また、当社では、複数クラウド環境の設定状況を自動でチェックし、設定ミスやコンプライアンス違反、異常行動などのリスクを診断するCSPMソリューションを販売しております。
ご興味のある方は是非、お気軽にお問い合わせください。