Ansichten:

Über das Überwachungs-Dashboard

Das Monitoring-Dashboard bietet eine detaillierte Aufzeichnung aller Ereignisse in einem AWS-Konto. Jedes Ereignis wird nach Zeitpunkt des Ereignisses, Ereignisdetails, Identität des Benutzers, der das Ereignis durchgeführt hat, und dem Konto, auf dem das Ereignis aufgetreten ist, kategorisiert. Sie können auch filter events auf der Grundlage von TrendAI Vision One™™ – Cloud Risk Management-Ereignissen, AWS-Ereignissen, Regionen und Diensten. Verwenden Sie dieses Dashboard, um ungewöhnliche Aktivitäten wie Änderungen an Sicherheitsgruppen, erhöhte Berechtigungsstufen für Benutzer, Zugriff auf Ihr AWS-Konto aus einem unbekannten Land usw. zu überwachen und gegebenenfalls Abhilfemaßnahmen zu ergreifen.
filter-monitoring-utktfw=feaeea19-fc44-4942-af23-90578f7857a4.png
{.zoom}
Beim Überprüfen von RTPM-Ereignissen möchten Sie möglicherweise eine Regel neu konfigurieren, die fehlgeschlagene Überprüfung beheben oder Details überprüfen, um Sicherheits-Schwachstellen zu identifizieren oder zu reduzieren. Beim Erweitern eines Ereignisses werden Ihnen die folgenden Optionen angeboten:
  1. Ereignis / Prüfdetails - Informationen zu Ereignissen, Prüfungen und ihren zugehörigen Ressourcentypen und Diensten
  2. Regel konfigurieren - passen Sie das Verhalten der Regeln an die Bedürfnisse Ihrer Organisation an
  3. Beheben - ergreifen Sie Maßnahmen zur Behebung, um Sicherheits-Schwachstellen zu reduzieren
monitoring-dashboard-xmu7d3=27d8e4e6-7795-43fc-9c0c-a496e68f5005.png

Fehlerbehebung

Falschmeldungen

Problem: Die Regel RTPM-005 - Users signed in to AWS from an approved country liefert einen Fehlalarm.
Lösung: Einer der Gründe, warum Sie auf dieses Problem stoßen könnten, ist, dass Compliance-DURCHSUCHEN den Anmeldeort des Benutzers basierend auf seiner IP-Adresse und nicht auf seinem tatsächlichen physischen Standort identifiziert.
Zum Beispiel haben Sie Deutschland zur Liste der genehmigten Länder hinzugefügt, aber das Compliance-DURCHSUCHEN erkennt den Anmeldeort des Benutzers als Schweiz und gibt einen Fehler zurück (falsch positiv).
Die Diskrepanz ergibt sich aus der Art und Weise, wie Internet-IP-Adressen zugewiesen werden.
Befolgen Sie diese Schritte, um das Problem zu diagnostizieren und zu beheben
  1. Überprüfen Sie den Standort des Benutzers basierend auf seiner IP-Adresse, indem Sie eine der folgenden Websites verwenden:
    1. https://tools.keycdn.com/geo
    2. https://www.ip2location.com/demo
    3. https://dnschecker.org/ip-location.php
  2. Wenn der IP-Standort mit dem übereinstimmt, was Compliance-DURCHSUCHEN erkannt hat, funktioniert die Regel wie erwartet. Dies kann auch auftreten, wenn eine Verbindung über ein Unternehmens-VPN hergestellt wird, das die tatsächliche Anmelde-IP-Adresse und den Standort des Benutzers verbirgt.
  3. Wenn der ermittelte IP-Standort von dem von Compliance-DURCHSUCHEN erkannten abweicht, wenden Sie sich bitte an den Customer Success, der das Problem weiter untersuchen kann.

Fehlende AWS-Ereignisse

Problem:Ich habe RTPM für meine Organisation aktiviert, aber einige AWS-Ereignisse werden vom Aktivitätsbot nicht erfasst.
Lösung:
  1. Stellen Sie sicher, dass Sie den eventBus installiert haben, damit RTPM Ereignisse aus jeder Region erfassen kann.
  2. Überprüfen Sie die Liste der unterstützten RTPM-Ereignisse unten.
Jedes AWS-Ereignis, das in der unten stehenden Liste fehlt, wird von RTPM nicht unterstützt. Es wird mit Ihrem geplanten Compliance-DURCHSUCHEN-Lauf überwacht und nach der Erfassung im Durchsuchen zur Auto-Remediation gesendet.
Ereignistyp
Ereignisse
S3
  • BucketErstellen
  • BucketLöschen
  • DeleteBucketCORS
  • DeleteBucketLifecycle
  • DeleteBucketPolicy
  • DeleteBucketReplication
  • LöscheBucketTagging
  • LöscheBucketWebsite
  • PutAccelerateConfiguration
  • PutAccountPublicAccessBlock
  • PutAnalyticsKonfiguration
  • PutBucketAccelerateConfiguration
  • PutBucketAclPutBucketCORS
  • PutBucketEncryption
  • PutBucketLifecycle
  • PutBucketLifecycleConfiguration
  • PutBucketLogging
  • PutBucketBenachrichtigung
  • PutBucketNotificationConfiguration
  • PutBucketPolicy
  • PutBucketPublicAccessBlock
  • PutBucketReplication
  • PutBucketRequestPayment
  • PutBucketTagging
  • PutBucketVersioning
  • PutBucketWebsite
  • VerschlüsselungskonfigurationFestlegen
  • PutInventoryKonfiguration
  • PutLifecycleConfiguration
  • PutMetricsKonfiguration
  • Replikationskonfiguration festlegen
EC2
  • VpcEndpointVerbindungenAkzeptieren
  • Vpc-Peering-Verbindung akzeptieren
  • AdresseZuweisen
  • Sicherheitsgruppen auf das Client-VPN-Zielnetzwerk anwenden
  • Adresse zuordnen
  • Route-Tabelle zuordnen
  • Subnet-CIDR-Block zuordnen
  • Transit-Gateway-Routentabelle zuordnen
  • VpcCidrBlockZuordnen
  • Internet-Gateway anhängen
  • Netzwerkschnittstelle anhängen
  • AuthorizeSecurityGroupEgress
  • AuthorizeSecurityGroupIngress
  • ErstellenKundenGateway
  • Egress-Only-Internet-Gateway erstellen
  • Internet-Gateway erstellen
  • ErstellenLokalesGatewayRouteTableVpcZuordnung
  • NatGatewayErstellen
  • Netzwerk-ACL erstellen
  • Netzwerk-ACL-Eintrag erstellen
  • NetzwerkschnittstelleErstellen
  • Netzwerkschnittstellenberechtigung erstellen
  • RouteErstellen
  • RouteTableErstellen
  • SicherheitsgruppeErstellen
  • TransitGatewayRouteTableErstellen
  • VolumeErstellen
  • VpcErstellen
  • VpcEndpunktErstellen
  • VpcEndpointVerbindungsbenachrichtigungErstellen
  • VpcEndpointServiceKonfigurationErstellen
  • VpcPeering-VerbindungErstellen
  • DeleteCustomerGateway
  • DeleteEgressOnlyInternetGateway
  • Internet-Gateway löschen
  • DeleteLocalGatewayRouteTableVpcAssociation
  • DeleteNatGateway
  • Netzwerk-ACL löschen
  • NetzwerkAclEintragLöschen
  • NetzwerkschnittstelleLöschen
  • Netzwerkschnittstellenberechtigung löschen
  • RouteLöschen
  • RouteTableLöschen
  • SicherheitsgruppeLöschen
  • TransitGatewayRouteLöschen
  • TransitGateway-Routentabelle löschen
  • VolumeLöschen
  • VpcEndpointVerbindungsbenachrichtigungLöschen
  • Vpc-Endpunktdienstkonfiguration löschen
  • Vpc-Endpunkte löschen
  • Vpc-Peering-Verbindung löschen
  • Internet-Gateway trennen
  • Netzwerkschnittstelle trennen
  • Transit-Gateway-Routentabellenweiterleitung deaktivieren
  • Adresse trennen
  • RouteTable trennen
  • Subnet-CIDR-Block disassoziieren
  • DisassoziiereTransitGateway-Routentabelle
  • VpcCidrBlock disassoziieren
  • TransitGateway-Routentabellenweiterleitung aktivieren
  • Vgw-Routenweiterleitung aktivieren
  • Instanzattribut ändern
  • Netzwerkschnittstellenattribut ändern
  • Vpc-Attribut ändern
  • Vpc-Endpunkt ändern
  • VpcEndpointVerbindungsbenachrichtigung ändern
  • Vpc-Endpunktdienstkonfiguration ändern
  • Vpc-Endpunktdienstberechtigung ändern
  • Vpc-Peering-Verbindungsoptionen ändern
  • Instanzen neu starten
  • Vpc-Endpunktverbindungen ablehnen
  • Vpc-Peering-Verbindung ablehnen
  • AdresseFreigeben
  • ErsetzeNetzwerkAclZuordnung
  • Netzwerk-ACL-Eintrag ersetzen
  • ErsetzenRouteTableZuordnung
  • TransitGatewayRouteErsetzen
  • Netzwerkschnittstellenattribut zurücksetzen
  • SicherheitsgruppeEgressWiderrufen
  • Sicherheitsgruppen-Eingang widerrufen
  • InstanzenAusführen
  • InstanzenStarten
  • StoppenInstanzen
  • InstanzenBeenden
Elasticloadbalancing
  • Gesundheitsprüfung konfigurieren
  • ErstellenLastenausgleich
  • LöscheLoadBalancer
  • VerfügbarkeitszonenFürLastenausgleichAktivieren
  • LoadBalancerAttributeÄndern
  • SetLoadBalancerListenerSSLCertificate
  • SetLoadBalancerPoliciesForBackendServer
  • SetLoadBalancerRichtlinienDesListeners
Automatische Skalierung
  • AutoScalingGruppeErstellen
  • ErstellenStartkonfiguration
  • AutoScalingGruppeLöschen
  • LöschStartkonfiguration
  • Benachrichtigungskonfiguration festlegen
  • ProzesseFortsetzen
  • ProzesseAnhalten
  • UpdateAutoScalingGroup
CloudFormation
  • StackErstellen
  • StackLöschen
  • UpdateStack
IAM
  • BenutzerZurGruppeHinzufügen
  • GruppenrichtlinieAnfügen
  • Rollenrichtlinie anhängen
  • AttachUserPolicy
  • PasswortÄndern
  • ZugriffsschlüsselErstellen
  • KontoAliasErstellen
  • GruppeErstellen
  • CreateLoginProfil
  • CreateOpenID
  • ConnectProvider
  • RichtlinieErstellen
  • ErstelleRichtlinienversion
  • RolleErstellen
  • CreateSAMLProvider
  • CreateServiceLinkedRole
  • CreateServiceSpecificCredential
  • BenutzerErstellen
  • CreateVirtualMFADevice
  • MFA-Gerät deaktivieren
  • ZugriffsschlüsselLöschen
  • KontoAliasLöschen
  • KontoLöschPasswortRichtlinie
  • GruppeLöschen
  • GruppenrichtlinieLöschen
  • LoginprofilLöschen
  • OpenIDConnectProviderLöschen
  • Löschrichtlinie
  • LöscheRichtlinienversion
  • RolleLöschen
  • DeleteRolePermissionsBoundary
  • DeleteRolePolicy
  • DeleteSAMLProvider
  • SSHPublicKeyLöschen
  • ServerzertifikatLöschen
  • DeleteServiceLinkedRole
  • DeleteServiceSpecificCredential
  • SignaturzertifikatLöschen
  • BenutzerLöschen
  • DeleteUserPermissionsBoundary
  • BenutzerRichtlinieLöschen
  • VirtuellesMFA-GerätLöschen
  • Gruppenrichtlinie trennen
  • RichtlinieVonRolleLösen
  • BenutzerRichtlinieTrennen
  • MFA-Gerät aktivieren
  • PutGroupPolicy
  • PutRolePermissionsBoundary
  • PutRolePolicy
  • PutUserPermissionsBoundary
  • PutUserPolicy
  • EntferneClientIDVomOpenIDConnectProvider
  • BenutzerAusGruppeEntfernen
  • Dienstspezifisches Anmeldeinformationen zurücksetzen
  • SetDefaultPolicyVersion
  • AktualisiereZugriffsschlüssel
  • AktualisiereKontopasswortrichtlinie
  • UpdateAssumeRolePolicy
  • UpdateGruppe
  • AktualisiereLoginProfil
  • AktualisiereOpenIDConnectProviderThumbprint
  • RolleAktualisieren
  • RollenbeschreibungAktualisieren
  • SAMLProviderAktualisieren
  • UpdateSSHPublicKey
  • Serverzertifikat aktualisieren
  • UpdateServiceSpecificCredential
  • UpdateSigningCertificate
  • BenutzerAktualisieren
  • SSHPublicKeyHochladen
  • UploadServerZertifikat
  • UploadSigningCertificate
Dynamodb
  • TabelleErstellen
  • TabelleLöschen
  • TagResource
  • RessourceEntmarken
  • TabelleAktualisieren
RDS
  • CopyDBClusterSnapshot
  • CopyDBSnapshot
  • CreateDBCluster
  • CreateDBClusterSnapshot
  • CreateDBInstance
  • ErstelleDBSicherheitsgruppe
  • CreateDBSnapshot
  • DeleteDBCluster
  • DeleteDBClusterSnapshot
  • DeleteDBInstance
  • DeleteDBSecurityGroup
  • DeleteDBSnapshot
  • DBClusterÄndern
  • ModifyDBInstance
  • TagsVonRessourceEntfernen
  • RestoreDBClusterFromSnapshot
  • RestoreDBClusterToPointInTime
  • WiederherstellenDBInstanzAusDBSnapshot
  • RestoreDBInstanceToPointInTime
Lambda
  • CreateFunction20150331
  • DeleteFunction20150331
  • ReplikationAktivieren20170630
  • PublishVersion20150331
Cloudfront
  • UngültigmachungErstellen
  
Organisationen
  • HandshakeAkzeptieren
  • AttachPolicy
  • HandshakeAbbrechen
  • KontoErstellen
  • OrganisationErstellen
  • OrganisatorischeEinheitErstellen
  • RichtlinieErstellen
  • HandshakeAblehnen
  • OrganisationLöschen
  • Organisatorische Einheit löschen
  • Löschrichtlinie
  • RichtlinieLösen
  • DisableAWSServiceAccess
  • DisablePolicyType
  • EnableAWSServiceAccess
  • Alle Funktionen aktivieren
  • EnablePolicyType
  • KontoZurOrganisationEinladen
  • OrganisationVerlassen
  • KontoVerschieben
  • KontoAusOrganisationEntfernen
  • OrganisatorischeEinheitAktualisieren
  • Aktualisierungsrichtlinie
Config
  • LöschAggregationsAutorisierung
  • DeleteConfigRule
  • KonfigurationsaggregatorLöschen
  • KonfigurationsrekorderLöschen
  • DeleteDeliveryChannel
  • DeleteEvaluationResults
  • DeletePendingAggregationRequest
  • PutAggregationAuthorization
  • PutConfigRule
  • PutConfigurationAggregator
  • PutConfigurationRecorder
  • PutDeliveryChannel
  • StartConfigRulesBewertung
  • StartConfigurationRecorder
  • StopConfigurationRecorder
GuardDuty
  • EinladungAnnehmen
  • ArchivFunde
  • ErstelleDetektor
  • CreateIPSet
  • MitgliederErstellen
  • ErstellenSieBeispielfunde
  • BedrohungsinformationssatzErstellen
  • EinladungenAblehnen
  • DeleteDetector
  • IPSetLöschen
  • EinladungenLöschen
  • MitgliederLöschen
  • DeleteThreatIntelSet
  • VonMasterkontoTrennen
  • Mitglieder trennen
  • MitgliederEinladen
  • StaRTPMonitoringMembers
  • MitgliederÜberwachungBeenden
  • Funde entarchivieren
  • UpdateDetector
  • UpdateFindingsFeedback
  • UpdateIPSet
  • UpdateThreatIntelSet
CloudTrail
  • TagsHinzufügen
  • TrailErstellen
  • TrailLöschen
  • PutEventSelectors
  • TagsEntfernen
  • ProtokollierungStarten
  • ProtokollierungBeenden
  • UpdateTrail
Route53domains
  • TagsFürDomainLöschen
  • DomainAutoRenewDeaktivieren
  • Domain-Transfer-Sperre deaktivieren
  • DomainAutoRenewAktivieren
  • DomainTransferSperreAktivieren
  • DomainRegistrieren
  • DomainErneuern
  • Kontakt-Erreichbarkeits-E-Mail erneut senden
  • DomainÜbertragen
  • DomainKontaktAktualisieren
  • AktualisiereDomainKontaktPrivatsphäre
  • DomainnamenserverAktualisieren
  • UpdateTagsFürDomain
KMS
  • Löschung des Schlüssels abbrechen
  • AliasErstellen
  • ErstelleZulassung
  • SchlüsselErstellen
  • AliasLöschen
  • ImportiertenSchlüsselmaterialLöschen
  • DeaktivierenSchlüssel
  • SchlüsselrotationDeaktivieren
  • SchlüsselAktivieren
  • Schlüsselrotation aktivieren
  • ZufälligGenerieren
  • ImportKeyMaterial
  • PutKeyPolicy
  • RetireGrant
  • Zugriff widerrufen
  • Löschung des Schlüssels planen
  • TagResource
  • RessourceEntmarken
  • AliasAktualisieren
  • UpdateKeyBeschreibung
Route53
  • AssociateVPCMitHostedZone
  • ChangeResourceRecordSets
  • TagsFürRessourceÄndern
  • GesundheitsprüfungErstellen
  • ErstelleGehosteteZone
  • ErstellenQueryLoggingKonfiguration
  • ErstellenWiederverwendbarerDelegationssatz
  • ErstelleVerkehrsrichtlinie
  • CreateTrafficPolicyInstance
  • ErstellenVerkehrsrichtlinienversion
  • CreateVPCAssociationAuthorization
  • GesundheitsprüfungLöschen
  • DeleteHostedZone
  • DeleteQueryLoggingConfig
  • ReusableDelegationssatzLöschen
  • DeleteTrafficPolicy
  • DeleteTrafficPolicyInstance
  • DeleteVPCAssociationAuthorization
  • VPCVonGehosteterZoneTrennen
  • UpdateHealthCheck
  • UpdateHostedZoneKommentar
  • AktualisiereTrafficPolicyKommentar
  • AktualisiereTrafficPolicyInstanz
STS
  • RolleÜbernehmen
  • RolleMitSAMLÜbernehmen
  • AssumeRoleMitWebIdentität