Ansichten:

Über das Überwachungs-Dashboard

Das Überwachungs-Dashboard bietet eine detaillierte Aufzeichnung aller Ereignisse in einem AWS-Konto. Jedes Ereignis wird nach Zeitpunkt des Ereignisses, Ereignisdetails, Identität des Benutzers, der das Ereignis durchgeführt hat, und dem Konto, auf dem das Ereignis aufgetreten ist, kategorisiert. Sie können auch filter events auf der Grundlage von Trend Vision One™ – Cloud Risk Management-Ereignissen, AWS-Ereignissen, Regionen und Diensten. Verwenden Sie dieses Dashboard, um ungewöhnliche Aktivitäten wie Änderungen an Sicherheitsgruppen, erhöhte Berechtigungsstufen für Benutzer, Zugriff auf Ihr AWS-Konto aus einem unbekannten Land usw. zu überwachen und gegebenenfalls Abhilfemaßnahmen zu ergreifen.
filter-monitoring-utktfw=feaeea19-fc44-4942-af23-90578f7857a4.png
{.zoom}
Beim Überprüfen von RTPM-Ereignissen möchten Sie möglicherweise eine Regel neu konfigurieren, den fehlgeschlagenen Check beheben oder Details überprüfen, um Sicherheits-Schwachstellen zu identifizieren oder zu reduzieren. Beim Erweitern eines Ereignisses werden Ihnen die folgenden Optionen angeboten:
  1. Ereignis / Prüfdetails - Informationen zu Ereignissen, Prüfungen und den zugehörigen Ressourcentypen und Diensten
  2. Regel konfigurieren - Passen Sie das Verhalten der Regeln an die Bedürfnisse Ihrer Organisation an
  3. Beheben - ergreifen Sie Maßnahmen zur Behebung, um Sicherheits-Schwachstellen zu reduzieren
monitoring-dashboard-xmu7d3=27d8e4e6-7795-43fc-9c0c-a496e68f5005.png

Fehlerbehebung

Falschmeldungen

Problem: Die Regel RTPM-005 - Users signed in to AWS from an approved country liefert einen Fehlalarm.
Solution: Einer der Gründe, warum Sie auf dieses Problem stoßen könnten, ist, dass Compliance-DURCHSUCHEN den Anmeldeort des Benutzers anhand seiner IP-Adresse und nicht anhand seines tatsächlichen physischen Standorts identifiziert.
Zum Beispiel haben Sie Deutschland zur Liste der genehmigten Länder hinzugefügt, aber das Compliance-DURCHSUCHEN erkennt den Anmeldeort des Benutzers als Schweiz und gibt einen Fehler zurück (falsch positiv).
Die Diskrepanz ergibt sich aus der Art und Weise, wie Internet-IP-Adressen zugewiesen werden.
Befolgen Sie diese Schritte, um das Problem zu diagnostizieren und zu beheben
  1. Überprüfen Sie den Standort des Benutzers anhand seiner IP-Adresse mithilfe einer der folgenden Websites:
    1. https://tools.keycdn.com/geo
    2. https://www.ip2location.com/demo
    3. https://dnschecker.org/ip-location.php
  2. Wenn der IP-Standort mit dem übereinstimmt, was Compliance-DURCHSUCHEN erkannt hat, funktioniert die Regel wie erwartet. Dies kann auch auftreten, wenn eine Verbindung über ein Unternehmens-VPN hergestellt wird, das die tatsächliche Anmelde-IP-Adresse und den Standort des Benutzers verbirgt.
  3. Wenn der ermittelte IP-Standort von dem von Compliance-DURCHSUCHEN erkannten abweicht, wenden Sie sich bitte an den Customer Success, der das Problem weiter untersuchen kann.

Fehlende AWS-Ereignisse

Problem:Ich habe RTPM für meine Organisation aktiviert, aber einige AWS-Ereignisse werden vom Aktivitätsbot nicht erfasst.
Solution:
  1. Stellen Sie sicher, dass Sie den eventBus installiert haben, damit RTPM Ereignisse aus jeder Region erfassen kann.
  2. Überprüfen Sie die Liste der unterstützten RTPM-Ereignisse unten.
Jedes AWS-Ereignis, das in der unten stehenden Liste fehlt, wird von RTPM nicht unterstützt. Es wird mit Ihrem geplanten Compliance-DURCHSUCHEN-Lauf überwacht und nach dem DURCHSUCHEN zur Auto-Remediation gesendet.
Ereignistyp
Ereignisse
S3
  • BucketErstellen
  • BucketLöschen
  • DeleteBucketCORS
  • DeleteBucketLifecycle
  • DeleteBucketPolicy
  • DeleteBucketReplication
  • DeleteBucketTagging
  • DeleteBucketWebsite
  • PutAccelerateConfiguration
  • PutAccountPublicAccessBlock
  • PutAnalyticsKonfiguration
  • PutBucketAccelerateConfiguration
  • PutBucketAclPutBucketCORS
  • PutBucketEncryption
  • PutBucketLifecycle
  • PutBucketLifecycleConfiguration
  • PutBucketLogging
  • PutBucketNotification
  • PutBucketNotificationConfiguration
  • PutBucketPolicy
  • PutBucketPublicAccessBlock
  • PutBucketReplication
  • PutBucketRequestPayment
  • PutBucketTagging
  • PutBucketVersioning
  • PutBucketWebsite
  • PutEncryptionConfiguration
  • PutInventoryConfiguration
  • PutLifecycleConfiguration
  • PutMetricsConfiguration
  • PutReplicationConfiguration
EC2
  • AcceptVpcEndpointVerbindungen
  • AcceptVpcPeeringVerbindung
  • AdresseZuweisen
  • Sicherheitsgruppen auf das Client-VPN-Zielnetzwerk anwenden
  • Adresse zuordnen
  • Route-Tabelle zuordnen
  • AssociateSubnetCidrBlock
  • AssociateTransitGatewayRouteTable
  • AssociateVpcCidrBlock
  • InternetGatewayAnhängen
  • AttachNetworkInterface
  • AuthorizeSecurityGroupEgress
  • AuthorizeSecurityGroupIngress
  • CreateCustomerGateway
  • CreateEgressOnlyInternetGateway
  • InternetGatewayErstellen
  • ErstellenLokalesGatewayRouteTableVpcVerknüpfung
  • CreateNatGateway
  • CreateNetworkAcl
  • CreateNetworkAclEntry
  • NetzwerkschnittstelleErstellen
  • CreateNetworkInterfacePermission
  • RouteErstellen
  • RouteTableErstellen
  • SicherheitsgruppeErstellen
  • CreateTransitGatewayRouteTable
  • VolumeErstellen
  • VpcErstellen
  • VpcEndpointErstellen
  • CreateVpcEndpointVerbindungsbenachrichtigung
  • VpcEndpointServiceKonfigurationErstellen
  • VpcPeering-Verbindung erstellen
  • DeleteCustomerGateway
  • Egress-Only-Internet-Gateway löschen
  • Internet-Gateway löschen
  • DeleteLocalGatewayRouteTableVpcAssociation
  • DeleteNatGateway
  • Netzwerk-ACL löschen
  • Netzwerk-ACL-Eintrag löschen
  • NetzwerkschnittstelleLöschen
  • DeleteNetworkInterfacePermission
  • RouteLöschen
  • RouteTableLöschen
  • SicherheitsgruppeLöschen
  • Transit-Gateway-Route löschen
  • Transit-Gateway-Routentabelle löschen
  • VolumeLöschen
  • VpcEndpoint-Verbindungsbenachrichtigung löschen
  • VpcEndpointServiceKonfigurationLöschen
  • VpcEndpointsLöschen
  • Vpc-Peering-Verbindung löschen
  • Internet-Gateway trennen
  • Netzwerkschnittstelle trennen
  • TransitGateway-Routentabellenweiterleitung deaktivieren
  • Adresse trennen
  • RouteTableTrennung
  • Subnet-CIDR-Block disassoziieren
  • Transit-Gateway-Routentabelle trennen
  • VpcCidrBlockDisassoziieren
  • EnableTransitGatewayRouteTablePropagation
  • EnableVgwRoutePropagation
  • ModifyInstanceAttribute
  • ModifyNetworkInterfaceAttribute
  • ModifyVpcAttribute
  • VpcEndpointÄndern
  • VpcEndpointVerbindungsbenachrichtigungÄndern
  • VpcEndpointServiceKonfigurationÄndern
  • VpcEndpointServiceBerechtigungÄndern
  • Vpc-Peering-Verbindungsoptionen ändern
  • RebootInstances
  • VpcEndpointVerbindungenAblehnen
  • Vpc-Peering-Verbindung ablehnen
  • ReleaseAddress
  • ReplaceNetworkAclAssociation
  • ReplaceNetworkAclEntry
  • ReplaceRouteTableAssociation
  • ReplaceTransitGatewayRoute
  • ResetNetworkInterfaceAttribute
  • RevokeSecurityGroupEgress
  • RevokeSecurityGroupIngress
  • RunInstances
  • StartInstances
  • StopInstances
  • InstanzenBeenden
Elasticloadbalancing
  • GesundheitsprüfungKonfigurieren
  • CreateLoadBalancer
  • DeleteLoadBalancer
  • EnableAvailabilityZonesForLoadBalancer
  • LoadBalancerAttributeÄndern
  • SetLoadBalancerListenerSSLCertificate
  • SetLoadBalancerRichtlinienFürBackendServer
  • SetLoadBalancerRichtlinienDesListeners
Automatische Skalierung
  • CreateAutoScalingGroup
  • ErstelleStartkonfiguration
  • AutoScalingGruppeLöschen
  • LöschStartkonfiguration
  • PutNotificationConfiguration
  • ProzesseFortsetzen
  • ProzesseAnhalten
  • UpdateAutoScalingGroup
CloudFormation
  • StackErstellen
  • DeleteStack
  • UpdateStack
IAM
  • BenutzerZurGruppeHinzufügen
  • AttachGroupPolicy
  • AttachRolePolicy
  • AttachUserPolicy
  • PasswortÄndern
  • ZugriffsschlüsselErstellen
  • KontoaliasErstellen
  • GruppeErstellen
  • ErstelleLoginProfil
  • CreateOpenID
  • ConnectProvider
  • RichtlinieErstellen
  • CreatePolicyVersion
  • RolleErstellen
  • CreateSAMLProvider
  • CreateServiceLinkedRole
  • CreateServiceSpecificCredential
  • BenutzerErstellen
  • CreateVirtualMFADevice
  • MFA-Gerät deaktivieren
  • ZugriffsschlüsselLöschen
  • KontoaliasLöschen
  • DeleteAccountPasswordPolicy
  • GruppeLöschen
  • GruppenrichtlinieLöschen
  • DeleteLoginProfil
  • OpenIDConnectProviderLöschen
  • Löschrichtlinie
  • DeletePolicyVersion
  • RolleLöschen
  • DeleteRolePermissionsBoundary
  • DeleteRolePolicy
  • DeleteSAMLProvider
  • SSHPublicKeyLöschen
  • ServerzertifikatLöschen
  • Serviceverknüpfte Rolle löschen
  • Service-spezifische Anmeldeinformationen löschen
  • DeleteSigningCertificate
  • BenutzerLöschen
  • LöscheBenutzerBerechtigungsgrenze
  • BenutzerRichtlinieLöschen
  • DeleteVirtualMFADevice
  • GruppenrichtlinieTrennen
  • RichtlinieVonRolleLösen
  • DetachUserPolicy
  • EnableMFA-Gerät
  • PutGroupPolicy
  • PutRolePermissionsBoundary
  • PutRolePolicy
  • PutUserPermissionsBoundary
  • PutUserPolicy
  • RemoveClientIDFromOpenIDConnectProvider
  • BenutzerAusGruppeEntfernen
  • Service-spezifisches Anmeldekennwort zurücksetzen
  • SetDefaultPolicyVersion
  • UpdateAccessKey
  • UpdateAccountPasswordPolicy
  • UpdateAssumeRolePolicy
  • UpdateGruppe
  • UpdateLoginProfile
  • UpdateOpenIDConnectProviderThumbprint
  • RolleAktualisieren
  • RollenbeschreibungAktualisieren
  • UpdateSAMLProvider
  • UpdateSSHPublicKey
  • UpdateServerZertifikat
  • UpdateServiceSpecificCredential
  • UpdateSigningCertificate
  • BenutzerAktualisieren
  • UploadSSHPublicKey
  • UploadServerZertifikat
  • UploadSigningCertificate
Dynamodb
  • TabelleErstellen
  • TabelleLöschen
  • TagResource
  • RessourceEntmarkieren
  • UpdateTabelle
RDS
  • CopyDBClusterSnapshot
  • CopyDBSnapshot
  • CreateDBCluster
  • CreateDBClusterSnapshot
  • CreateDBInstance
  • CreateDBSecurityGroup
  • CreateDBSnapshot
  • DeleteDBCluster
  • DeleteDBClusterSnapshot
  • DeleteDBInstance
  • DeleteDBSecurityGroup
  • DeleteDBSnapshot
  • ModifyDBCluster
  • ModifyDBInstance
  • TagsVonRessourceEntfernen
  • RestoreDBClusterFromSnapshot
  • RestoreDBClusterToPointInTime
  • RestoreDBInstanceFromDBSnapshot
  • RestoreDBInstanceToPointInTime
Lambda
  • CreateFunction20150331
  • DeleteFunction20150331
  • ReplikationAktivieren20170630
  • PublishVersion20150331
Cloudfront
  • CreateInvalidation
  
Organisationen
  • HandshakeAkzeptieren
  • AttachPolicy
  • HandshakeAbbrechen
  • KontoErstellen
  • OrganisationErstellen
  • OrganisatorischeEinheitErstellen
  • RichtlinieErstellen
  • HandschlagAblehnen
  • OrganisationLöschen
  • OrganisatorischeEinheitLöschen
  • Löschrichtlinie
  • Richtlinie trennen
  • DisableAWSServiceAccess
  • DisablePolicyType
  • EnableAWSServiceAccess
  • AlleFunktionenAktivieren
  • EnablePolicyType
  • KontoZurOrganisationEinladen
  • OrganisationVerlassen
  • KontoVerschieben
  • KontoAusOrganisationEntfernen
  • OrganisatorischeEinheitAktualisieren
  • UpdateRichtlinie
Konfiguration
  • LöschAggregationsberechtigung
  • DeleteConfigRule
  • DeleteConfigurationAggregator
  • KonfigurationsrekorderLöschen
  • DeleteDeliveryChannel
  • BewertungsergebnisseLöschen
  • Löschanfrage für ausstehende Aggregation
  • PutAggregationAuthorization
  • PutConfigRule
  • KonfigurationsaggregatorEinfügen
  • PutConfigurationRecorder
  • LieferkanalEinfügen
  • StartConfigRulesEvaluation
  • StartConfigurationRecorder
  • Konfigurationsrekorder stoppen
GuardDuty
  • EinladungAkzeptieren
  • ArchivFunde
  • ErstelleDetektor
  • CreateIPSet
  • MitgliederErstellen
  • SampleFindingsErstellen
  • Bedrohungsinformationssatz erstellen
  • EinladungenAblehnen
  • LöscheDetektor
  • DeleteIPSet
  • EinladungenLöschen
  • MitgliederLöschen
  • DeleteThreatIntelSet
  • VonMasterkontoTrennen
  • Mitglieder trennen
  • MitgliederEinladen
  • StaRTPMonitoringMembers
  • MitgliederÜberwachungBeenden
  • Funde entarchivieren
  • UpdateDetector
  • UpdateFindingsFeedback
  • UpdateIPSet
  • BedrohungsinformationssatzAktualisieren
CloudTrail
  • TagsHinzufügen
  • TrailErstellen
  • LöscheSpur
  • PutEventSelectors
  • TagsEntfernen
  • ProtokollierungStarten
  • ProtokollierungBeenden
  • UpdateTrail
Route53domains
  • TagsFürDomainLöschen
  • DomainAutoRenewDeaktivieren
  • Domainübertragungssperre deaktivieren
  • DomainAutoRenewAktivieren
  • DomainTransferSperreAktivieren
  • DomainRegistrieren
  • DomainErneuern
  • Erreichbarkeits-E-Mail für Kontakt erneut senden
  • DomainÜbertragen
  • UpdateDomainContact
  • AktualisiereDomainKontaktPrivatsphäre
  • DomainnamenserverAktualisieren
  • UpdateTagsFürDomain
KMS
  • Löschung des Schlüssels abbrechen
  • AliasErstellen
  • CreateGrant
  • SchlüsselErstellen
  • AliasLöschen
  • ImportedKeyMaterialLöschen
  • SchlüsselDeaktivieren
  • SchlüsselrotationDeaktivieren
  • SchlüsselAktivieren
  • Schlüsselrotation aktivieren
  • ZufälligGenerieren
  • ImportKeyMaterial
  • PutKeyPolicy
  • Zugriffsberechtigung zurückziehen
  • Zugriff widerrufen
  • Löschung des Schlüssels planen
  • TagResource
  • RessourceEntmarkieren
  • AliasAktualisieren
  • UpdateKeyBeschreibung
Route53
  • VPCMitHostedZoneVerknüpfen
  • ChangeResourceRecordSets
  • ÄndereTagsFürRessource
  • GesundheitsprüfungErstellen
  • CreateHostedZone
  • CreateQueryLoggingConfig
  • ErstellenWiederverwendbarerDelegationssatz
  • VerkehrsrichtlinieErstellen
  • CreateTrafficPolicyInstance
  • ErstellenTrafficPolicyVersion
  • CreateVPCAssociationAuthorization
  • GesundheitsprüfungLöschen
  • LöscheGehosteteZone
  • LöschAbfrageprotokollierungskonfiguration
  • LöschWiederverwendbareDelegationssatz
  • DeleteTrafficPolicy
  • DeleteTrafficPolicyInstance
  • DeleteVPCAssociationAuthorization
  • VPCVonGehosteterZoneTrennen
  • UpdateHealthCheck
  • UpdateHostedZoneKommentar
  • UpdateTrafficPolicyKommentar
  • UpdateTrafficPolicyInstance
STS
  • Rolle übernehmen
  • AssumeRoleWithSAML
  • AssumeRoleWithWebIdentity