GET /cspm/rules
此API返回云安全当前用于检查云账户的规则信息。
请求
格式
GET /cspm/rules/{id}
参数
|
参数 |
类型 |
可选 |
描述 |
|---|---|---|---|
|
|
字符串 |
是 |
需要显示信息的规则ID。 若请求中未指定该参数,响应将包含适用于您所有云账户的全部规则信息。 |
示例
请求获取云账户中所有可用规则的信息:
GET/cspm/rules
请求获取规则
0010fb5f-06a1-4afd-9f59-f01c76******
:
GET/cspm/rules/0010fb5f-06a1-4afd-9f59-f01c76******
响应
格式
{
"data": [
{
"id": "3fa85f64-5717-4562-b3fc-2c963f******",
"type": "rule",
"attributes": {
"name": "字符串",
"version": 0,
"title": "字符串",
"original_severity": "informational",
"description": "字符串",
"implication": "字符串",
"recommendation": "字符串",
"references": "字符串"
},
"relationships": {
"controls": {
"data": [
{
"id": "字符串",
"type": "control",
"meta": {
"compliance_type": "system_compliance",
"compliance_id": "字符串",
"section_id": "字符串"
}
}
]
}
},
"links": {
"self": "字符串"
}
}
],
"links": {
"self": "字符串",
"next": "字符串"
},
"meta": {
"total": 0,
"elapsed": 0
}
}
属性
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
数组 |
包含特定规则信息的属性列表。 |
|
|
字符串 |
规则ID。 |
|
|
字符串 |
规则类型。可选值:
|
|
|
数组 |
提供规则信息。 |
|
|
字符串 |
规则的名称。 |
|
|
整数 |
当前使用的规则版本。 |
|
|
字符串 |
规则的标题。 |
|
|
字符串 |
仅显示当失败时会导致这些严重性结果的规则。
可能的值:
|
|
|
数组 |
提供与本规则相关的链接。 |
|
|
字符串 |
指向此规则信息的直接链接。 |
|
以下属性仅在请求适用于您云账户的所有规则信息时返回(请求中未指定
|
||
|
|
数组 |
提供允许您在页面间导航的链接。 |
|
|
字符串 |
指向此规则信息的直接链接。 |
|
|
字符串 |
指向下一条规则信息的直接链接。 |
|
|
数组 |
提供与请求返回信息相关的整体信息。 |
|
|
整数 |
请求返回的结果总数。 |
|
|
整数 |
您已查看的结果数量(包括当前显示的结果)。 |
示例
请求获取适用于您云账户的所有可用规则信息:
{
"data": [
{
"id": "0010fb5f-06a1-4afd-9f59-f01c76******",
"type": "rule",
"attributes": {
"name": "cloud_scan/aws/iam/access_key_rotation_90_days",
"version": 1,
"title": "IAM用户访问密钥每90天轮换一次",
"original_severity": "高危",
"description": "发现属于IAM用户的一个或多个访问密钥至少90天未轮换。\n\nIAM用户是您在AWS中创建的实体,代表使用该IAM用户与AWS交互的人员或服务。IAM用户的主要用途是让人能够登录AWS管理控制台执行交互任务,并通过API或CLI向AWS服务发出编程请求。AWS中的用户由名称、登录AWS管理控制台的密码以及最多两个可用于API或CLI的访问密钥组成。创建IAM用户时,可通过将其加入具有适当权限策略的组(推荐)或直接附加策略来授予权限。您还可以克隆现有IAM用户的权限,这将自动使新用户加入相同组并附加所有相同策略。\n\n访问密钥是IAM用户或AWS账户根用户的长期凭证。\n\n访问密钥由访问密钥ID和秘密访问密钥组成,用于对AWS的编程请求进行签名。AWS用户需要自己的访问密钥才能通过AWS CLI、Windows PowerShell工具、AWS SDK或直接HTTP调用对AWS服务进行编程调用。\n\n作为安全最佳实践,建议定期轮换IAM用户访问密钥。如果管理员已授予必要权限,您可以自行轮换访问密钥。",
"implication": "轮换访问密钥可缩短与泄露或终止账户关联的访问密钥被利用的时间窗口。\n\n应轮换访问密钥以确保无法使用可能已丢失、破解或被盗的旧密钥访问数据。",
"recommendation": "建议每90天轮换一次IAM访问密钥。\n\n1. 登录IAM控制台https://console.aws.amazon.com/iam/\n2. 在导航面板点击**Users**\n3. 选择需要轮换密钥的IAM用户\n4. 选择**Security Credentials**标签页\n5. 点击**Create Access Key**创建新密钥对\n6. 将凭证保存至本地设备\n - 重要提示:关闭此对话框后将无法再次查看秘密访问密钥\n7. 点击**Close**返回配置页面,此时应显示两个活动密钥\n8. 更新应用程序并替换旧密钥,测试新密钥是否生效\n9. 选择旧密钥点击**Make Inactive**,状态应从Active变为Inactive\n10. 确认无应用使用旧密钥后,返回IAM用户页面点击叉号图标删除旧密钥\n11. 点击**Delete**完成删除",
"references": "- https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html"
},
"relationships": {
"controls": {
"data": [
{
"id": "CC6.0.24",
"type": "control",
"meta": {
"compliance_type": "system_compliance",
"compliance_id": "sg-pdpa-26-2012",
"section_id": "CC6"
}
},
{
"id": "10.54",
"type": "control",
"meta": {
"compliance_type": "system_compliance",
"compliance_id": "bnm-rmit",
"section_id": "10"
}
},
{
"...": "..."
}
]
}
},
"links": {
"self": "https://api.staging.cs.gravityzone.bitdefender.com/v1/cspm/rules/0010fb5f-06a1-4afd-9f59-f01c76******"
}
},
{
"id": "00e9ee7e-ff8e-4cba-b81b-8fd530******",
"type": "rule",
"attributes": {
"name": "cloud_scan/aws/iam/password_policy_require_symbols",
"version": 1,
"title": "IAM密码策略未配置符号要求",
"original_severity": "中危",
"description": "发现一个或多个AWS账户的IAM密码策略强度不足,未配置必须包含符号的要求。",
"implication": "通过设置强健的IAM密码策略要求AWS IAM用户创建复杂密码,可降低密码猜测和暴力破解攻击风险。",
"recommendation": "建议为所有AWS账户的IAM密码策略启用密码必须包含符号的选项。\n\n1. 打开IAM控制台https://console.aws.amazon.com/iam/\n2. 在左侧导航菜单点击**Account Settings**\n3. 确保密码策略表单中**Require at least one non-alphanumeric character**选项已勾选\n4. 点击**Apply password policy**保存更改",
"references": "- https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html"
},
"relationships": {
"controls": {
"data": [
{
"id": "I.c.2.g",
"type": "control",
"meta": {
"compliance_type": "system_compliance",
"compliance_id": "seojk-29-2022",
"section_id": "I"
}
},
{
"id": "sec.1.6",
"type": "control",
"meta": {
"compliance_type": "system_compliance",
"compliance_id": "aws-waf",
"section_id": "sec"
}
},
{
"...": "..."
}
]
}
},
"links": {
"self": "https://api.staging.cs.gravityzone.bitdefender.com/v1/cspm/rules/00e9ee7e-ff8e-4cba-b81b-8fd530******"
}
},
{
"...": "..."
}
],
"links": {
"self": "https://api.staging.cs.gravityzone.bitdefender.com/v1/cspm/rules?page_limit=500",
"next": null
},
"meta": {
"total": 395,
"elapsed": 395
}
}
请求规则信息
0010fb5f-06a1-4afd-9f59-f01c76******
:
{
"data": {
"id": "0010fb5f-06a1-4afd-9f59-f01c76******",
"type": "rule",
"attributes": {
"name": "cloud_scan/aws/iam/access_key_rotation_90_days",
"version": 1,
"title": "IAM用户访问密钥每90天轮换一次",
"original_severity": "高危",
"description": "发现属于IAM用户的一个或多个访问密钥至少90天未轮换。\n\nIAM用户是您在AWS中创建的实体,代表使用该IAM用户与AWS交互的人员或服务。IAM用户的主要用途是让人能够登录AWS管理控制台执行交互任务,并通过API或CLI向AWS服务发出编程请求。AWS中的用户由名称、登录AWS管理控制台的密码以及最多两个可用于API或CLI的访问密钥组成。创建IAM用户时,可通过将其加入具有适当权限策略的组(推荐)或直接附加策略来授予权限。您还可以克隆现有IAM用户的权限,这将自动使新用户加入相同组并附加所有相同策略。\n\n访问密钥是IAM用户或AWS账户根用户的长期凭证。\n\n访问密钥由访问密钥ID和秘密访问密钥组成,用于对AWS的编程请求进行签名。AWS用户需要自己的访问密钥才能通过AWS CLI、Windows PowerShell工具、AWS SDK或直接HTTP调用单个AWS服务的API进行编程调用。\n\n作为安全最佳实践,建议定期轮换(更改)IAM用户访问密钥。如果管理员已授予必要权限,您可以自行轮换访问密钥。",
"implication": "轮换访问密钥可减少与已泄露或终止账户关联的访问密钥被使用的机会窗口。\n\n应轮换访问密钥以确保无法使用可能已丢失、破解或被盗的旧密钥访问数据。",
"recommendation": "建议每90天轮换一次IAM访问密钥。\n\n1. 登录IAM控制台https://console.aws.amazon.com/iam/\n2. 在导航面板点击**Users**\n3. 选择需要轮换密钥的IAM用户\n4. 选择**Security Credentials**标签页\n5. 点击**Create Access Key**创建新访问密钥\n6. 将凭证保存到本地设备\n - 重要提示:关闭此对话框后将无法再次查看秘密访问密钥\n7. 点击**Close**返回配置页面,此时应显示两个有效访问密钥\n8. 更新应用程序,用新密钥替换旧密钥ID和秘密访问密钥,并测试新密钥是否生效\n9. 选择旧密钥点击**Make Inactive**,状态应从Active变为Inactive\n10. 确认无应用程序使用旧密钥后,返回IAM用户页面点击每个旧密钥旁的叉号按钮\n11. 点击**Delete**删除旧密钥",
"references": "- https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html"
},
"relationships": {
"controls": {
"data": [
{
"id": "AC-2(1)",
"type": "control",
"meta": {
"compliance_type": "system_compliance",
"compliance_id": "nist-sp-800-53-r5",
"section_id": "AC"
}
},
{
"id": "8.3.10.1",
"type": "control",
"meta": {
"compliance_type": "system_compliance",
"compliance_id": "pci-dss-v4-0",
"section_id": "8"
}
},
{
"...": "..."
}
]
}
},
"links": {
"self": "https://api.staging.cs.gravityzone.bitdefender.com/v1/cspm/rules/0010fb5f-06a1-4afd-9f59-f01c76******"
}
}
}