Ansichten:

Erhalten Sie Antworten auf häufig gestellte Supportfragen zu Cloud Risk Management.

Zugehörige Informationen

Cloud Risk Management FAQs

Wie verwalte ich Regelverstöße im Zusammenhang mit der agentenlosen Sicherheitslücken- und Bedrohungserkennung für GCP?

Die Funktion Agentless Vulnerability & Threat Detection (AVTD) für GCP wurde umfassend getestet, einschließlich Sicherheits- und Leistungstests, um den besten Praktiken der Cloud-Konfiguration zu entsprechen. Die folgenden Regelbefunde wurden vom Trend Micro-Team überprüft und können sicher ignoriert werden:
  1. CloudVPC-006: Stellen Sie sicher, dass die Cloud-DNS-Protokollierung für alle VPC-Netzwerke aktiviert ist: AVTD stellt ein VPC-Netzwerk sicher bereit. Die Cloud-DNS-Protokollierung ist für die Überwachung nicht erforderlich.
  2. CloudVPC-003: Aktivieren Sie VPC Flow Logs für VPC-Subnetze: AVTD setzt das VPC-Subnetz-Netzwerk sicher ein. VPC Flow Logs sind für die Überwachung nicht erforderlich.
  3. CloudStorage-005: Definieren Sie das Indexseiten-Suffix und die Fehlerseite für die Bucket-Website-Konfiguration: Der Cloud-Speicher ist nicht für das Hosting von Websites vorgesehen, bei denen die Website-Konfiguration nicht anwendbar ist.
  4. CloudStorage-003:Aufbewahrungsrichtlinien mit Bucket Lock konfigurieren: AVTD legt die Aufbewahrungsrichtlinie für den Cloud-Speicher fest. Die Bucket-Lock-Funktion wird nicht erzwungen, um Flexibilität bei der Anpassung der Richtlinie zu ermöglichen.
Was ist als Nächstes zu tun?
Um zu verhindern, dass Fehler bei der Regel CloudVPC-003 die Compliance Ihrer Cloud-Konten beeinträchtigen, schließen Sie AVTD-Ressourcen von den oben genannten Regeln aus. Sie können eine Regelausnahme erstellen, indem Sie die Ressourcen-ID verwenden, um die Ressourcen von den Regeln auszuschließen.
CloudVPC-003: Erstellen Sie eine Ausnahmeregel mit der im fehlgeschlagenen Ergebnis gemeldeten Ressourcen-ID.
CloudStorage-005, CloudStorage-003: Erstellen Sie eine Regelausnahme mit dem Tag trend-micro-product::avtd.
Alternativ können Sie ein Ausnahmeprofil erstellen und anwenden:
  1. Profil erstellen.
  2. Konfigurieren Sie das neue Profil mit Ausnahmeregeln.
  3. Wenden Sie die Regeländerungen auf betroffene Konten an.
  4. Führen Sie das Profil mit den betroffenen Konten zusammen, um die Regel-Ausnahmen anzuwenden.
    1. Profil-Einstellungen zusammenführen und priorisieren.
    2. Vorhandene Kontoeinstellungen zusammenführen und priorisieren.
Ausschlüsse werden für die Regel CloudVPC-006 nicht unterstützt, daher empfehlen wir, eine permanente Regelunterdrückung anzuwenden, um zu verhindern, dass sie die Compliance-Bewertung Ihrer Cloud-Konten beeinflusst.

Was sind die potenziellen Regelverstöße im Zusammenhang mit der agentenlosen Sicherheitslücken- und Bedrohungserkennung?

Die neue Guided Exclusions-Funktion ist standardmäßig automatisch aktiviert, um AVTD-Ressourcen auszuschließen und zu verhindern, dass Fehler die Compliance- und Risikobewertungen Ihrer Cloud-Konten beeinflussen. Für weitere Informationen, einschließlich der Deaktivierung der Ausschlüsse, siehe: Einstellungen verwalten.
Potenzielle Regelbefunde für ausgeschlossene Ressourcen
Die folgenden potenziellen Regelbefunde wurden vom Trend Micro-Team überprüft. Unter Berücksichtigung des Kontexts dieser Ressourcen sind diese Befunde nicht anwendbar und können sicher ignoriert werden:
Die neue Funktion Geführte Ausschlüsse ist standardmäßig automatisch aktiviert, um AVTD-Ressourcen auszuschließen und zu verhindern, dass Fehler die Compliance- und Risikobewertungen Ihrer Cloud-Konten beeinträchtigen. Weitere Informationen, einschließlich der Deaktivierung der Ausschlüsse, finden Sie unter: Verwalten von Einstellungen.
Potenzielle Regelbefunde für ausgeschlossene Ressourcen
Die folgenden potenziellen Regelbefunde wurden vom Trend Micro-Team überprüft. Unter Berücksichtigung des Kontexts dieser Ressourcen sind diese Befunde nicht anwendbar und können sicher ignoriert werden:
  1. Lambda-009: Aktivieren Sie die Verschlüsselung im Ruhezustand für Umgebungsvariablen mit Customer Managed Keys: AVTD-Ressourcen sind sicher mit Standard-Schlüsseln verschlüsselt. Darüber hinaus enthalten die Umgebungsvariablen keine Geheimnisse, daher ist eine zusätzliche Verschlüsselung mit von Kunden verwalteten Schlüsseln nicht erforderlich.
  2. SecretsManager-001: Geheimnis verschlüsselt mit KMS-Kundenschlüsseln: AVTD-Ressourcen sind sicher mit Standardschlüsseln verschlüsselt, daher ist eine zusätzliche Verschlüsselung mit kundengesteuerten Schlüsseln nicht erforderlich.
  3. Lambda-001: Lambda mit neuester Laufzeitumgebung: AVTD stellt sicher, dass alle unsere Lambdas eine unterstützte Laufzeitumgebung ohne End-of-Life-Datum verwenden. Alle unterstützten Laufzeitumgebungen erhalten regelmäßige Sicherheitsupdates von AWS.
  4. Lambda-003: Lambda-Tracing aktiviert : AVTD stellt sicher, dass diese Funktion vor der Veröffentlichung gründlich getestet wird, daher ist diese zusätzliche Sichtbarkeit durch Aktivieren des Tracings nicht erforderlich.
  5. SecretsManager-002: Geheimnisrotation aktiviert AVTD verwendet seine eigene Geheimnisfunktion anstelle der von AWS bereitgestellten, daher ist das Aktivieren der von AWS bereitgestellten Geheimnisrotationsfunktion nicht erforderlich.
  6. SecretsManager-003: Geheimnis-Rotationsintervall AVTD verwendet seine eigene Geheimnisfunktion anstelle der von AWS bereitgestellten, daher ist das Aktivieren der von AWS bereitgestellten Geheimnis-Rotationsfunktion nicht erforderlich.
  7. S3-024: S3-Übertragungsbeschleunigung: Die AVTD-Funktion nutzt die Übertragungsbeschleunigung nicht.
  8. Lambda-006: Verwenden einer IAM-Rolle für mehr als eine Lambda-Funktion: AVTD setzt eine Strategie namens "Berechtigungsebenen" ein, bei der Lambda-Funktionen, die identische Berechtigungen benötigen, eine einzige IAM-Rolle verwenden. Dies gewährleistet sowohl Effizienz als auch Verwaltbarkeit bei der Bereitstellung in mehreren Regionen, z. B. Reduzierung der Anzahl der in einem Kunden-Cloud-Konto verwendeten IAM-Rollen
  9. Lambda-007: VPC-Zugriff für AWS Lambda-Funktionen: AVTD nutzt keine Ressourcen wie Redshift, ElastiCache und RDS, die möglicherweise eine VPC-Implementierung erfordern.
  10. CFM-001: CloudFormation Stack-Benachrichtigung: Der AVTD CloudFormation-Stack wird bereits über V1 CAM anstelle von AWS verwaltet.
  11. CFM-002: CloudFormation-Stack-Richtlinie: Der AVTD CloudFormation-Stack wird bereits über V1 CAM anstelle von AWS verwaltet.
  12. CFM-005:CloudFormation Stack-Beendigungsschutz: Um den Kunden die Kontrolle über die Stacks in ihrer Umgebung zu geben, erlaubt AVTD den Benutzern, den Stack zu deaktivieren und aus ihrem Konto zu entfernen
  13. S3-025: S3-Buckets, die mit vom Kunden bereitgestellten Schlüsseln (CMKs) verschlüsselt sind: AVTD ist bereits mit S3-verwalteten Schlüsseln verschlüsselt.
  14. SQS-006:SQS Dead Letter Queue: AVTD implementiert die Dead Letter Queue (DLQ) in einigen seiner SQS-Ressourcen, wo anwendbar.
  15. S3-013: S3-Bucket-MFA-Löschung aktiviert: Objekte, die in AVTD S3s gespeichert sind, sind relativ kurzlebig, daher ist das Aktivieren des MFA-Löschschutzes für versehentliche Löschungen nicht erforderlich
  16. S3-023: Objektsperre: Objekte, die in AVTD S3s gespeichert sind, haben eine relativ kurze Lebensdauer, daher ist eine Objektsperre zum Schutz vor versehentlichem Löschen nicht erforderlich.

Leistung Übergeordnetes Thema

Zugehörige Informationen

Leistungsfehlerbehebung Übergeordnetes Thema

Fehlerbehebungsoptionen für Leistungsprobleme
Issue
Resolution or Cause
Compliance-DURCHSUCHEN hat dazu geführt, dass Mein Konto sein Ratenlimit erreicht hat
Verwalten Sie Leistungsprobleme, indem Sie die Verzögerung zwischen Compliance-DURCHSUCHEN-Durchläufen erhöhen
API-Drosselung
Cloud Risk Management hat die Plattform optimiert, um unnötige API-Aufrufe zu vermeiden. Beispiele für Leistungsoptimierung: 1. Wenn Cloud Risk Management die AWS-API für die S3-Bucket-Liste aufruft, führt der Bot keine wiederholten Aufrufe durch, sondern überprüft nur auf Änderungen. 2. Cloud Risk Management unterstützt teilweise Inventarisierung, d.h. die Verwendung von Teillisten von Ressourcen aus AWS, sodass das System in der Lage ist, mit Teilaufrufen umzugehen, z.B. S3-Bucket-Liste - sekundäre IP-Aufrufe - wenn der Bot den zweiten API-Aufruf nicht ausführen kann, funktioniert die Regel-Engine trotzdem. 3. Unterstützung für exponentielles Backoff-API.
Wenn Sie weitere Probleme haben, lassen Sie es unser Team bitte über Cloud Risk Management Support wissen.